处理器A级漏洞Meltdown(熔毁)和Spectre(幽灵)FAQ

安天安全研究与应急处理中心(Antiy CERT)

报告初稿完成时间:2018年1月6日 23时
首次发布时间:2018年1月6日 23时
本版更新时间:2018年1月6日 23时

 

在安天1月4日和1月5日分别就《处理器A级漏洞Meltdown(熔毁)和Spectre(幽灵)分析报告》[2]之后,有用户就A级漏洞事件影响范围、利用方式和如何检测提出问题,针对此类形成了本FAQ。

1         关于Meltdown(熔毁)和Spectre(幽灵)漏洞相关的背景知识

Google公司的Project Zero等安全团队披露出的英特尔等处理器芯片存在非常严重的安全漏洞,将其命名为Meltdown和Spectre。

  • Meltdown(熔毁)
  • Meltdown破坏了位于用户和操作系统之间的基本隔离,允许恶意代码访问主机任意内存,从而窃取其他应用程序以及操作系统内核的敏感信息。这个漏洞“熔化”了由硬件来实现的安全边界。允许低权限用户级别的应用程序“越界”访问系统级的内存,从而造成数据泄露。

  • Spectre(幽灵)
  • Spectre则是破坏了不同应用程序之间的隔离。问题的根源在于推测执行(speculative execution),这是一种优化技术,处理器会推测在未来可能执行的指令并预执行。这种技术的目的在于提前准备好计算结果,当这些数据被需要时可立即使用,以提升系统运行效率。内在的原因是CPU的运行速度大大快于内存的读取速度。在此过程中,英特尔等CPU没有很好地将低权限的应用程序与访问内核内存分开,这意味着攻击者可以使用恶意应用程序来获取应该被隔离的用户级私有数据。  

    2          关于Meltdown(熔毁)和Spectre(幽灵)漏洞的威胁和影响范围

    2018年1月4日,国家信息安全漏洞共享平台CNVD发布Meltdown漏洞(CNVD-2018-00303,对应CVE-2017-5754)和Spectre漏洞(CNVD-2018-00302和CNVD-2018-00304,对应CVE-2017-5715和CVE-2017-5753)安全公告,CNVD对该漏洞的综合评级为“高危”。该漏洞存在于英特尔(Intel)x86-64的硬件中,在1995年以后生产的Intel处理器芯片都可能受到影响。同时AMD、Qualcomm、ARM处理器也受到影响[1]。
    2018年1月4日 23时,安天发布了A级漏洞风险通告,并提醒该漏洞可能演化为针对云和信息基础设施的A级网络安全灾难[2]。


    1、 相关漏洞只能读取数据,为什么安天将其定性为A级漏洞。
    相关漏洞本身只能读取数据,不能修改数据,但由于其获取的数据中有可能包括口令、证书和其他敏感数据,将带来横向移动攻击作业能力,包括能够完整Dump内存镜像,意味着可以获取所有打开的文件和信息,因此这个漏洞比一般性的虚拟机逃逸对云的危害更大。攻击者尽管并未实现直接从虚拟化节点到物理机的逃逸,但攻击者窃密的目的可能已经达成,包括获取到一些认证凭证后,还可以进行后续横向移动,而这种攻击对原有云的安全监测机制几乎无感,因此其对云基础设施、包括私有云,危害极大。

    2、 漏洞利用难度如何?
    答: 漏洞利用难度很低。相关漏洞已有成熟PoC代码流出,对于已公开的PoC代码,安天分析工程师已在Intel处理器的对各环境下测试验证其有效性。实验数据证明,已公开PoC可被用于获取当前进程内存数据。因此在云场景下该漏洞利用难度极低,由于云服务是可攻击面极宽,攻击者不仅较容易攻入云内有弱点的虚拟机,甚至可能直接租用主机,来运行PoC程序,通过CPU缓存获取整个物理主机的内存数据
    相关漏洞对桌面用户可以实现基于浏览器等入口的组合攻击,绕过浏览器现有安全机制,获取系统内核数据,其利用难度大于对云端的攻击。
    所以,该漏洞具有利用难度极低,潜在危害极大的特点。

    3、 漏洞可能的利用方式有哪些?
    答: 一是云端主机(包括物理机和同机其他虚拟机)的相关敏感数据;二窃取桌面用户敏感信息。对于云服务而言,攻击者会通过租用云服务、利用其自身脆弱性或安装恶意应用程序实施攻击,并可能获取到可以支持云内横向移动的关联数据。对于桌面用户而言,攻击者可从浏览器侧当作攻击入口。
    该漏洞对于专有设备的影响,我们还在分析研判。

    4、 漏洞被大规模利用的可能性有多大?
    答:该漏洞存在可能被大规模利用的必然性。由于云服务已经是深入日常生活的广泛服务,大量政务、商务系统给予各种公有云建设,大量行业企业建设了私有云,因此该漏洞被大规模利用存在一定必然性。能否有效遏制一定程度上取决于漏洞修补的速度。对于桌面系统和移动系统来说,不仅有浏览器可能成为攻击入口,而且大量桌面客户端和移动APP实际上是对浏览器的封装,极易遭到占坑攻击或流量劫持注入攻击。

    5、 漏洞是会被恶意代码攻击相结合么?
    答: 漏洞PoC本身就是恶意代码,对于那些攻击者已经获得的资源(如僵尸网络),毫无疑问这个漏洞扩大了他们获得战果的范围。可以连带导致连锁灾难。攻击者可利用漏洞与其他恶意代码互相配合使用,窃取的口令、证书和其他关键数据被用来当作其他攻击使用,如利用蠕虫机制进行横向移动、内部服务管理凭证发起针对性攻击等等。

    6、 该漏洞能有效预防么?漏洞的利用行为是否有办法监测到?
    答: 该漏洞的有效修补方式是及时安装补丁。对于云基础设施的运营者来说,需要和时间赛跑。从目前来看,该漏洞监测和攻击者使用漏洞的方式有关,有的较难监测;有的已有成熟方案。但总体来说,这个漏洞是可以应对和响应的。

    7 英特尔此次的漏洞与之前安天分析报送过的ME漏洞有关系吗?
    答:没有关系,英特尔之前发布了ME漏洞安全公告和检测工具,但与Meltdown(熔毁)和Spectre(幽灵)漏洞无关。但这些漏洞都提醒我们当前普遍性网络安全威胁也已经抵达深海。

     


    附录一:参考资料


    [1] CNVD:关于CPU处理器内核存在Meltdown和Spectre漏洞的安全公告
    http://www.cnvd.org.cn/webinfo/show/4353
    [2] 处理器A级漏洞Meltdown(熔毁)和Spectre(幽灵)分析报告
    https://www.antiy.com/response/Meltdown.html
    [3] Meltdown攻击[非官方中文速译V0.2版,安天技术公益翻译组译注]
    http://bbs.antiy.cn/forum.php?mod=viewthread&tid=77670&extra=page%3D1
    [4] 亚马逊安全公告
    https://aws.amazon.com/cn/security/security-bulletins/AWS-2018-013/
    [5] 微软安全公告
    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
    https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/
    [6] 谷歌安全公告
    https://googleprojectzero.blogspot.hk/2018/01/reading-privileged-memory-with-side.html
    https://blog.google/topics/google-cloud/what-google-cloud-g-suite-and-chrome-customers-need-know-about-industry-wide-cpu-vulnerability/
    [7] 腾讯云安全公告
    http://bbs.qcloud.com/thread-48540-1-1.html
    [8] 阿里云安全公告
    https://help.aliyun.com/noticelist/articleid/20700730.html
    安天关于#处理器A级漏洞Meltdown(熔毁)和Spectre(幽灵)#跟进时间表:
    2018年01月04日 23时00分 发布
    2018年1月5日 08时50分 更新
    《处理器A级漏洞Meltdown(熔毁)和Spectre(幽灵)分析报告》
    https://www.antiy.com/response/Meltdown.html
    2018年1月4日 23时30分 发布
    2018年1月5日 9时30分 更新
    《Meltdown攻击[非官方中文速译V0.2版,安天技术公益翻译组译注]》
    http://bbs.antiy.cn/forum.php?mod=viewthread&tid=77670&extra=page%3D1
    2018年1月5日 16时59分 发布
    《Spectre攻击[非官方中文速译V0.1版-安天技术公益翻译组译注]》
    http://bbs.antiy.cn/forum.php?mod=viewthread&tid=77671&extra=page%3D1


     

    附录二:关于安天

    安天是专注于威胁检测防御技术的领导厂商。安天以提升用户应对网络空间威胁的核心能力、改善用户对威胁的认知为企业使命,依托自主先进的威胁检测引擎等系列核心技术和专家团队,为用户提供端点防护、流量监测、深度分析、威胁情报和态势感知等相关产品、解决方案与服务。

    安天的监控预警能力覆盖全国、产品与服务辐射多个国家。安天将大数据分析、安全可视化等方面的技术与产品体系有效结合,以海量样本自动化分析平台延展分析师团队作业能力、缩短产品响应周期。安天结合多年积累的海量安全威胁知识库,综合应用大数据分析、安全可视化等方面经验,推出了可抵御各类已知和未知威胁的多样化解决方案。

    全球超过一百家以上的著名安全厂商、IT厂商选择安天作为检测能力合作伙伴,安天的威胁检测引擎目前已为全球近十万台网络设备和网络安全设备、超过八亿部移动终端设备提供安全防护,其中安天移动检测引擎是全球首个获得AV-TEST年度奖项的中国产品,并在国际权威认证机构AV-C2015年度移动安全产品测评中,成为全球唯一两次检出率均为100%的产品。

    安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续五届蝉联国家级网络安全应急服务支撑单位资质,亦是中国国家信息安全漏洞库六家首批一级支撑单位之一。

    安天是中国应急响应体系中重要的企业节点,在红色代码II、口令蠕虫、震网、破壳、沙虫、方程式、白象、魔窟等重大安全事件中,安天提供了先发预警、深度分析或系统的解决方案。

    安天实验室更多信息请访问:

    https://www.antiy.com(中文)

    http://www.antiy.net(英文)

    安天企业安全公司更多信息请访问:

    https://www.antiy.cn

    安天移动安全公司(AVL TEAM)更多信息请访问:

    http://www.avlsec.com

     

     


     

    微信扫描关注 安天

    文章分享二维码