Group-IB: глобальный тренд киберугроз – атаки через физические уязвимости микропроцессоров

Опубликовано at 13:50
26 0

Международная ИБ-компания Group-IB выпустила отчет, в котором сообщила, что  в начале 2018 года источником глобальной угрозы кибербезопасности стали уязвимости микропроцессоров и атаки по сторонним каналам (side-channel attacks)

«Если в прошлом году основное внимание специалистов по безопасности было связано с эпидемиями WannaCry, NotPetya, BadRabbit [т.е. программными вирусами — прим. АКБ], то начало 2018 года показало, что новый источник глобальной угрозы информационной безопасности – это side-channel атаки и уязвимости микропроцессоров разных вендоров», — отчет Group-IB.

В компании уточняют, что эти виды уязвимости (из которых самыми известными стали Spectre и Veltdown) невозможно быстро и эффективно закрыть при помощи программных обновлений. Более того, сегодня на рынке нет решений, которые могут эффективно выявить угрозы, поэтому о них становится известно благодаря утечкам, а не исследованию атак.

«Комбинация side-channel атаки с аппаратной уязвимостью, которая позволяет выполнять множество действий в операционной системе, открывает новые возможности заражать устройства незаметно. Если устройство скомпрометировано таким образом, то переустановка операционной системы или даже выброс жесткого диска не решит проблему…Никакая антивирусная программа не поможет, когда проблема находится на уровне прошивки, на уровне оборудования», — Дмитрий Волков, Group-IB.

Вместе с тем, на текущий момент хакеров, которые способны качественно осуществлять такие атаки, не так много, а разработка программ для борьбы с ними — процесс сложный и дорогой. Так что маловероятно, что этот тренд при всей своей глобальной опасности столкнется с серьезными мерами противодействия ИБ-специалистов в ближайшее время. Как раз в то ближайшее время, когда этот тренд сможет вырасти в нечто большее.

Ранее АКБ много писала о главных микропроцессорных атаках 2018 года: например о том, как специалисты Грацкого технического университета обнаружили уязвимость смартфона Galaxy S7 для атаки Meltdown.

Уязвимость Meltdown обнаружили в январе 2018 года, и она затрагивает большинство современных компьютеров и мобильных устройств. По данным Google Project Zero, Meltdown позволяет повысить привилегии на системе и из пространства пользователя прочитать содержимое любой области памяти, в том числе память ядра. Проэксплуатировать уязвимость при этом может любой пользователь, у которого есть возможность выполнить код на системе.

Проблема затрагивает практически все версии процессоров Intel, начиная с 1995 года (исключение составляют Intel Itanium и Intel Atom до 2013 года), и ARM64 (Cortex-A15/A57/A72/A75).

Ранее этим летом эксперты из Грацского технического университета описали новую уязвимость, связанную с работой механизмов спекулятивного исполнения команд, под названием NetSpectre. Эта дыра, в отличие от всех предыдущих вариантов уязвимости Spectre, гораздо опасней: ее можно активировать посредством сетевого соединения, без размещения кода на устройстве жертвы и запуска файлов или открытия страниц.

При этом уязвимость NetSpectre тесно сопряжена с оригинальной проблемой Spectre вариант 1 (CVE-2017-5753), обнаруженной в начале 2018 года. Таким образом, новая уязвимость представляет угрозу для всех устройств, уязвимых перед оригинальным багом. Напомним, атаке Spectre подвержено большинство компьютерных систем, использующих высокопроизводительные микропроцессоры, в том числе персональные компьютеры, серверы, ноутбуки и ряд мобильных устройств. В частности, атака Spectre была продемонстрирована на процессорах производства корпораций Intel, AMD и на чипах, использующих процессорные ядра ARM.

Все представленные ранее, в том числе весьма изощренные варианты side-channel атак на проблемы класса Spectre, предложенные специалистами ранее, подразумевали, что злоумышленник должен каким-то образом вынудить свою жертву загрузить и выполнить локально вредоносный код, или хотя бы открыть в браузере вредоносный сайт со специальным JavaScript. Для эксплуатации NetSpectre ничего подобного не требуется: хакер может просто бомбардировать сетевые порты устройства потоком пакетов и добиться успеха. NetSpectre также позволяет обойти ASLR.

Атаке Spectre подвержено большинство компьютерных систем, использующих высокопроизводительные микропроцессоры, в том числе персональные компьютеры, серверы, ноутбуки и ряд мобильных устройств. В частности, атака Spectre была продемонстрирована на процессорах производства корпораций Intel, AMD и на чипах, использующих процессорные ядра ARM.

Как ранее писало АКБ, древо дыр в процессорах Intel, тип которого был обнаружен в начале этого года, продолжает расти. Новые уязвимости окрестили «Предвестием» (Foreshadow). Эксплуатация новых Spectre-уязвимостей в процессорах Intel основана на спекулятивном выполнении – вид параллелизма команд, реализованный во многих современных ЦП с целью повышения производительности. Отсюда и название «Предвестие» — при спекулятивном выполнении, грубо говоря, команда выполняется раньше, чем определяется ее цель и необходимость, чтобы сэкономить процессорное время.

Уязвимости Foreshadow затрагивают обрабатываемые в процессе спекулятивного выполнения данные, которые хранятся в кэше первого уровня (L1), в том числе, сведения, относящиеся к режиму системного управления или ядру ОС (CVE-2018-3620). Отмечается, что к атакам Foreshadow и Foreshadow-NG уязвимы только процессоры Intel.

Подписываемся, следим @CyberAgency

Related Post

Долгие, мощные, с рикошетом: «Лаборатория Касперского» рассказала о DDoS-тенденциях года

Опубликовано - 26.04.2018 0
«Лаборатория Касперского» опубликовала отчет о наблюдении за DDoS-атаками в мире в первом квартале 2018 года. Эксперты отмечают тенденцию атак к…

Добавить комментарий