Koho skutečně ohrožuje Meltdown a Spectre

16. 1. 2018. (redaktor: Michala Benešovská, zdroj: DCD Publishing)
Světem IT hýbe v posledních týdnech „skandální odhalení“ – ve všech moderních procesorech, bez ohledu na výrobce, jsou zranitelnosti, které představují vážné bezpečnostní riziko. V kauze, ve které není nouze o katastrofické scénáře a hororové vyhlídky, se nejčastěji zmiňuje výrazné zpomalení počítačů, serverů a dalších zařízení, které mají způsobit bezpečnostní updaty.

Zatímco zranitelnost CVE-2017-5754, tedy Meltdown, se týká pouze procesorů Intel, CVE-2017-5753 a CVE-2017-5715, které nesou společné označení Spectre, postihují také procesory ostatních výrobců (tedy i AMD a ARM). Největší problém z pohledu zabezpečení je ten, že se zranitelnosti netýkají konkrétních aplikací či systémů, ale jsou na úrovni procesoru. Tradiční metody obrany se v jejich případě stávají neefektivní. Na druhé straně jde o tak specifické slabiny, že je asi žádný průměrný kyberzločinec nedokáže zneužít. I přesto, že využití Meltdown a Spectre je náročný proces, který byl zatím prováděn pouze jako řízený „proof of concept“, a je sotva představitelné, že by jej skutečně někdo zneužil, museli výrobci reagovat.

Prostřednictvím Meltdown a Spectre se může potenciální útočník dostat k obsahu citlivé paměti procesoru, jejíž obsah může číst (jde opravdu „pouze“ o čtení, zranitelnosti nelze zneužít pro vložení instrukcí do kernelu). Bezpečnostní slabiny tak dovolují programům přístup k informacím, které jsou aktuálně počítačem zpracovávány. Za normálních okolností nemají aplikace povoleno číst data z jiných programů. Problém spočívá v tom, že se může objevit kód schopný zneužít Meltdown a Spectre k získání dat uložených v paměti ostatních spuštěných programů. Může jít například o přihlašovací informace apod. Obě zranitelnosti mohou být zneužity díky tzv. „speculative execution“ neboli spekulativnímu provádění instrukcí, což je operace, kterou provádí snad všechny moderní procesory kvůli optimalizování výkonu. Prakticky jde o testování podmínek, jehož výsledkem je provádění kódu, tzv. podmíněné větvení. Procesor předpokládá, že jsou určité instrukce pravdivé a dochází k ověřování těchto předpokladů. Pokud se pravdivost potvrdí, probíhá proces dál. Pokud se ukáže, že jde o nesprávný předpoklad, tak je stávající proces zastaven a zahozen a je určena nová větev, která se odvíjí na základě aktuálních podmínek. Při této spekulaci se objevuje nežádoucí „vedlejší účinek“ – citlivá paměť je v tu chvíli otevřená, a právě v tom okamžiku může dojít ke čtení informací.

Meltdown

Meltdown dovoluje případným útočníkům nejen čtení paměti kernelu, ale celé fyzické paměti zařízení. Dochází k prolomení izolace mezi uživatelskou aplikací a operačním systémem, což umožňuje jakékoliv aplikaci přístup k systémové paměti, včetně paměti kernelu.

Zranitelnost Meltdown se týká téměř všech notebooků, počítačů a serverů s procesory Intel.

Bezpečnostní aktualizace pro Meltdown jsou již k dispozici. Předpovědi, že dojde k významnému zpomalení chodu zařízení, se však nepotvrdily. Microsoft vydal opravný patch pro Windows 10 na začátku ledna. Počítače s procesory Skylake a Kaby Lake zaznamenaly po updatu zpomalení o jednotky procent, což je pro uživatele sotva patrné. Horší je situace u starších modelů procesorů a u sestav, které používají některou ze starších verzí Windows.

Spectre

Druhý problém, Spectre, který se skládá ze dvou částí (CVE-2017-5753 a CVE-2017-5715), nelze tak snadno eliminovat na softwarové úrovni jako Meltdown. Podle všeho je pro jeho úplné odstranění zapotřebí změnit architekturu procesoru.

Spectre narušuje izolaci mezi různými aplikacemi. Fakticky porušuje kontrolu omezení během procesu spekulace, kdy může procesor zpracovávat data, která jsou pak použita k lokalizaci dalších. Kvůli optimalizaci výkonu může procesor rovnou načíst druhou část dat bez nutnosti ověřovat, že je první část legitimní. V takovém případě lze nasadit útočný kód, aby načetl přenášené informace do cache paměti procesoru. Pomocí analýzy cache postranním kanálem, jak se tato technika nazývá, je pak možné dočasně uložená data číst. Spectre se teoreticky dá zneužít ke krádeži informací, které putují z kernelu pro uživatelský program, stejně tak směrem z hypervizoru k hostovanému systému. 

Zranitelnost Spectre se týká procesorů všech hlavních výrobců, tedy vedle Intelu také AMD a ARM. Přestože není momentálně možné Spectre ošetřit patchem, jsou k dispozici nástroje, které umí bránit zneužití zranitelností Spectre.

Vlna nevole

Zkraje roku 2018 se kolem Meltdown a Spectre rozpoutala intenzivní debata. Nejděsivější scénáře hovořily o obrovském dopadu na všechna zařízení, čehož se zalekla řada uživatelů, kteří se paradoxně citelných výkonnostních ztrát nedočkali. O poznání horší pozici mají provozovatelé cloudu a datových center, kde by měly být klientské aplikace od dalších systémů bezpečně odděleny, a kde probíhá neporovnatelně vyšší počet softwarových volání.

Vlnu kritiky schytal také Intel, který „tajil“ přítomnost Meltdown; což je mimochodem zcela běžná praxe. Dokud nejsou k dispozici první verze bezpečnostních oprav, není příliš moudré vypouštět do světa návod a upozornění, kde jsou neošetřené slabiny. Hněv davu se snesl i na hlavu Briana Krzanicha, CEO Intelu; ten totiž v listopadu loňského roku rozprodal velkou část akcií Intelu, které vlastnil. Transakce za bezmála 40 milionů dolarů (jeho zisk činil 25 milionů) nezůstala bez povšimnutí, přičemž ji mnozí spojují právě s Meltdown. Intel i Krzanich spekulace vyvrací s tím, že šlo o dlouho naplánovanou akci. Podobné pochybnosti doprovázely i nedávný případ masivního úniku dat společnosti Equifax, kde několik vysoce postavených představitelů společnosti rozprodalo své akcie krátce před tím, než byl jeden z nejzávažnějších úniků posledních let uveřejněn. Cena akcií Intelu po zveřejnění Meltdown a Spectre pochopitelně významně klesla.

Pro všechny aktuálně používané systémy jsou k dispozici alespoň první verze patchů, do konce ledna by pak měly být pokryté všechny platformy a systémy.

Štítky: 
Bezpečnost, AMD, Intel, Microsoft
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Pět největších trendů v oblasti SASE pro rok 2024

19. 4. 2024. (redaktor: František Doupal, zdroj: Fortinet)
Situace na poli kyberbezpečnosti je komplikovaná. Společnosti využívají tzv. hybridní pracovní sílu, desítky aplikací a třeba i řadu IoT zařízení. Jedním z řešení možných otázek může být přístup SASE (Secure Access Service Edge), na který se v následujícím komentáři zaměřila společnost Fortinet. Čtěte více

Novinky v MSP platformě Acronis: AI skriptování, integrace s AWS a monitoring EDR z partnerské úrovně

18. 4. 2024. (redaktor: František Doupal, zdroj: Acronis)
Acronis přidal do své MSP platformy Acronis Cyber Protect Cloud řadu nových funkcí, včetně AI skriptování, monitoringu EDR z partnerské úrovně, a integrace s AWS a MS Entra, které dále zvyšují její hodnotu pro MSP poskytovatele. Díky aktuálním inovacím mohou poskytovatelé řízených služeb efektivněji spravovat a chránit před kybernetickými hrozbami IT infrastruktury svých zákazníků. Čtěte více

Únik dat odhalil pozadí čínského kyberšpionážní programu

17. 4. 2024. (redaktor: František Doupal, zdroj: Check Point)
Únik dat z čínské bezpečnostní společnosti I-Soon částečně odhalil vnitřní fungování čínského národního hackerského programu. Společnost napojená na čínskou vládu aktivně útočila na vlády dalších zemí, ale i na domácí cíle. Ze získaných informací například vyplývá, že společnost byla financována především ze státních peněz. Čtěte více

U 90 % loňských útoků kyberzločinci zneužili protokol RDP

16. 4. 2024. (redaktor: František Doupal, zdroj: Sophos)
Studie společnosti It’s Oh So Quiet (?): The Sophos Active Adversary Report for 1H 2024+ analyzující přes 150 případů reakce na incidenty řešených týmem Sophos X-Ops Incident Response v roce 2023 zjistila, že kyberzločinci zneužívají protokol vzdálené plochy (Remote Desktop Protocol – RDP), běžnou metodu pro navázání vzdáleného přístupu k systémům Windows, hned v 90 % útoků. Čtěte více