aktualności

RIDL, Fallout i ZombieLand - nowe ataki wykorzystujące luki MDS w procesorach Intela

24 15 maja 2019, 17:24 Adrian Kotowski

Taka nowa tradycja u niebieskich. W sieci pojawiły się informacje o nowych atakach RIDL, Fallout i ZombieLand, które wykorzystują luki w zabezpieczeniach procesorów Intela, wydanych w ciągu ostatnich 11 lat. Problem jest poważny, bo według naukowców, którzy stoją za odkryciem podatności, ich zupełne wyeliminowanie nie jest do końca możliwe, choć producent procesorów twierdzi inaczej. Stosunkowo bezpieczni będziemy tylko wtedy, gdy zdecydujemy się zupełnie wyłączyć technikę Hyper-Threading.

Lista luk, jakie w ostatnim czasie odkryto w chipach Intela jest długa i robi się coraz dłuższa, bo do znanych już nam dobrze Meltdown i Spectre dołączyły właśnie kolejne. Intel opublikował listę czterech podatności (CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 i CVE-2019-11091), które pozwalają na wykonanie ataków nazwanych jako RIDL, Fallout i ZombieLand. Każdy z nich funkcjonuje na nieco innej zasadzie, choć ich zadanie jest jedno – wykraść dane, które mają być domyślnie chronione i do których dostęp nie powinien być możliwy w ogóle lub bez odpowiedniego poziomu uprzywilejowania.

Zacznijmy od RIDL i Fallout, bo oba wykorzystują lukę Microarchitectural Data Sampling rozpoznaną w chipach Intela. W przeciwieństwie do rozpoznanych wcześniej ataków, te dwa wymienione wyżej mogą w stosunkowo prosty sposób „wyciągnąć” dane znajdujące się w wewnętrznych buforach CPU (Line Fill Buffers, Load Ports, Store Buffers), w tym także te, które nigdy nie były przechowywane w pamięci cache chipu. W porównaniu do Meltdown i Spectre ataki wykorzystujące lukę MDS nie muszą przyjmować żadnych założeń dotyczących układu pamięci i nie zależą od pamięci podręcznej procesora. To z kolei powoduje, że ich załatanie ma być niezwykle trudne.

W przypadku RIDL celem są wspomniane wcześniej bufory Line Fill Buffers i Load Ports, używane przez chip podczas ładowania lub składowania danych z/do pamięci. Przy wykorzystaniu odpowiedniego exploita możliwe jest uruchomienie kodu na dowolnym komputerze z chipem Intela, niezależnie od tego, czy wykorzystywane są do tego zasoby platformy chmurowej czy np. skrypty JavaScript ukryte na stronie lub w reklamie. Za ich pomocą atakujący może przejąć dane z innych programów odpalonych na tej samej maszynie. Żeby było ciekawiej, nie ma tutaj znaczenie, co to za program. Tym samym możliwe jest zdobycie informacji np. z kernela systemu operacyjnego, maszyn wirtualnych, czy nawet z enklaw SGX.

Jeśli zaś chodzi o Fallout, to dzięki niemu atakujący ma dostęp do danych znajdujących się w buforach przechowywania, które są używane za każdym razem, gdy w potoku CPU musi zostać wykonany zapis jakichkolwiek danych. Naukowcy odkryli, że cyberprzestępca może sobie nawet wybrać, które informacje ze wspomnianego buforu mają wyciec, a które są mu niepotrzebne. Za pomocą Fallout można m.in. złamać Kernel Address Space Layout Randomization (KASLR), a także przechwycić wrażliwe dane zapisywane do pamięci przez jądro systemu operacyjnego. Ciekawostką jest to, że według badaczy ten atak łatwiej jest wykonać na procesorach Core 9. generacji, które w przeciwieństwie do starszych rodzin posiadają sprzętowe łatki dla luki Meltdown. To raczej nie świadczy zbyt dobrze o Intelu.

Bardzo podobnym i równie szkodliwym atakiem jest ZombieLand. Wykorzystuje on tak zwaną logikę obejścia procesora przy zwracaniu wartości dla konkretnych obciążeń. Dzięki temu możliwy jest wyciek danych pomiędzy procesami, wątkami, czy wspomnianymi już wcześniej enklawami SGX i maszynami wirtualnymi. Atakujący ma możliwość przejęcia danych, które są w danej chwili używane przez parę wątków HT. Inna sprawa, że istnieje sposób na wykorzystanie luki również na chipach bez techniki Hyper-Threading, przy czym dotyczy to wyłącznie niektórych chronionych domen, a powodzenie całego procesu nie jest zbyt pewne.

Przy pomocy ZombieLand szkodliwy program może pobrać informacje z bufora wprowadzania dla konkretnej aplikacji. Mogą to być m.in. dane dotyczące historii przeglądania, zasoby strony internetowej, klucze użytkowników, ich hasła, a nawet klucze szyfrujące dysków. Podatność dotyczy zarówno tradycyjnych pecetów, jak i platform chmurowych, w których znajdziemy chipy Intel Core i Xeon.

Jak wspomnieliśmy już wcześniej, najlepszą ochroną przed wymienionymi wyżej atakami jest po prostu wyłączenie HT, co oczywiście spowoduje znaczny spadek wydajności w aplikacjach wielowątkowych. Intel przygotował własne testy, w których porównuje wydajność po zastosowaniu łatki zabezpieczeń i bez niej. Jak można się łatwo domyślić, różnice są widoczne, choć dużo zależy od typu zadań – firma uspokaja, że w przypadku segmentu klienckiego nie trzeba martwić się o właśnie żadne spadki. Większe zmiany widać w segmencie centrów danych, szczególnie, że tam niebiescy zestawiają ze sobą też wydajność CPU z włączonym i wyłączony HT.

Przy okazji warto też wspomnieć, że Intel sugeruje w swojej informacji prasowej, jakoby chipy Core 8. i 9. generacji były sprzętowo odporne na ataki MDS, choć dostępne informacje na stronie niebieskich i materiały przekazane przez naukowców temu po prostu przeczą. Firma informuje o aktualizacjach mikrokodów dla jednostek bez sprzętowych poprawek dla MDS, a na liście modeli, które mają je otrzymać, wymienia właśnie wspomniane wyżej rzekomo „odporne” rodziny CPU. W przypadku systemów Windows wymagana ma być tylko instalacja nowych uaktualnień, a użytkownicy różnych dystrybucji Linuksa muszą czekać dodatkowo na nowe jądro systemowe.

Od początku zaznaczamy, że luki dotyczą wyłącznie jednostek Intela. Zarówno badacze bezpieczeństwa, jak i firma AMD, potwierdzają tę wiadomość. Czerwoni udostępnili w związki ze sprawą nowe oświadczenie, którego treść możecie przeczytać niżej.

– W firmie AMD rozwijamy produkty i usługi z myślą o bezpieczeństwie. Bazując na naszych analizach i rozmowach z badaczami wierzymy, że nasze produkty nie są podatne na zagrożenia „Fallout”, „RIDL” oraz „ZombieLoad Attack” z uwagi na sprzętową weryfikację ochrony zaimplementowaną w naszej architekturze. Nie byliśmy w stanie zademonstrować działania tych algorytmów na produktach AMD i nie są znane nam przypadki, aby komukolwiek się to udało. Więcej informacji na ten temat znajdą Państwo w naszej analizie p.t.  Spekulacyjne zachowanie w mikroarchitekturach AMD twierdz firma Lisy Su.

Smaczku całej sprawie dodaje również to, jak Intel zareagował na odkrycie. Sprawę naświetlił Stephan van Schaik, jeden ze studentów amsterdamskiej uczelni UV, który odkrył lukę w chipach. RIDL został rozpoznany zupełnie przypadkiem 11 września ubiegłego roku, kiedy to van Schaik pracował przy swoim projekcie badawczym i w czasie szukania wycieków danych dla procesorów Intela po prostu popełnił błąd w pisanym kodzie. Ku jego zdziwieniu otrzymał informacje zwrotne, których w ogóle się nie oczekiwał, a sama luka była większa, niż spodziewał się on, jego koledzy i wykładowcy. Badacze z VU przygotowali łącznie ponad 20 różnych exploitów i w końcu poinformowali o sprawie Intela. Ten zareagował jednak dość dziwnie.

Firma próbowała bagatelizować wyciek, proponując za jego odkrycie 40 tys. dolarów i później dodatkowe 80 tys. dolarów. Wspomniana oferta została odrzucona, ze względu na obostrzenia, jakie nakłada na badaczy jej fundator. Naukowcy nie mogliby wymieniać się informacjami z innymi badaczami, a dodatkowo nie mieliby również pewności, że Intel w ogóle poinformuje z wyprzedzeniem swoich partnerów. Zresztą to ostatnie miało się szybko potwierdzić, bo producent chipów Core zwlekał z udostępnieniem odpowiednich danych na temat luki producentom przeglądarek – firmom Google i Mozilla.

Naukowcy mieli też wymusić na Intelu publikację informacji o luce, grożąc, że jeśli firma tego nie zrobi, to sami je przekażą opinii publicznej. Według przedstawicieli UV, niebiescy w ogóle nie kwapili się do podania tej wiadomości i najchętniej czekaliby kolejne sześć miesięcy z jej ujawnieniem. Jak twierdzi Herbert Bos, profesor bezpieczeństwa systemu i sieci w VU, nowe procesory stały się tak złożone, że nawet ich producenci nie mają już kontroli nad bezpieczeństwem. Przypadek Intela dobitnie to udowadnia.

Sprawdź ranking popularnych procesorów dostępnych w Polsce

DaviMZobacz profil
Poziom ostrzeżenia: 0%
DaviM2019.05.15, 17:32
32#1
Intel jak zwykle śmieszny jest.

Jak reklamują od lat HT, to podają, że nawet 50% i więcej można zyskać dzięki włączeniu HT. W testach rzeczywistych nawet w grach często faktycznie jest zysk na poziomie 20-30%, a w aplikacjach nawet znacznie więcej.

A jak trzeba wyłączyć HT (jak teraz, co zresztą już od wielu miesięcy było zalecane na prockach Intela), to Intel twierdzi, że strata jest tylko maksymalnie 9%, a z reguły 1-2%, a czasami można nawet zyskać.

'Kupujcie nasze procki z HT. Zyskacie nawet 50% wydajności'
'Musicie wyłączyć HT dla bezpieczeństwa. Spadek wydajności będzie niewielki bo średnio 2%'

Czyli to takie perpetum mobile w wersji ultra: włączasz HT, zyskujesz 50%, po czym wyłączasz HT, tracisz 2% ale na szczęście wciąż jesteś 48% do przodu!!!

I jak zwykle próba 'załatwienia' problemu kasą...
cHunterZobacz profil
Poziom ostrzeżenia: 0%
cHunter2019.05.15, 17:43
16#2
Ogólnie to trochę się zaniepokoiłem bo wygląda na to że te nowe luki stanowią bardzo realne zagrożenie. Czy ja dobrze czytam że odpowiednio spreparowaną strona pozwoli wyciągnąć hasła z np. managera haseł w Chrome?
DillGangZobacz profil
Poziom ostrzeżenia: 0%
DillGang2019.05.15, 17:56
13#3
A i tak 95% osób będzie bezwładnie brnęła w Intela pomimo różnych luk... :/
KowalPachołekFocusaZobacz profil
Poziom ostrzeżenia: 0%
KowalPachołekFocusa2019.05.15, 18:00
-18#4
Ponieważ one zwykłemu Kowalskiemu w niczym nie zaszkodzą?:)
zomeerZobacz profil
Poziom ostrzeżenia: 0%
zomeer2019.05.15, 18:05
KowalPachołekFocusa @ 2019.05.15 18:00  Post: 1203190
Ponieważ one zwykłemu Kowalskiemu w niczym nie zaszkodzą?:)

Zależy od podejścia osoby, która chce takich danych. Mimo, iż Kowalskiemu raczej nic nie grozi, to samo zagrożenie widać jest realne.
KowalPachołekFocusaZobacz profil
Poziom ostrzeżenia: 0%
KowalPachołekFocusa2019.05.15, 18:28
-16#6
Nie to żebym bronił Intela,jestem od tego jak najdalszy.Ale ile tysięcy osób potraciło swoje fortuny z powodu tych luk? Prawdopodobnie nikt?:)
SetnikZobacz profil
Poziom ostrzeżenia: 0%
Setnik2019.05.15, 18:38
KowalPachołekFocusa @ 2019.05.15 18:28  Post: 1203202
Nie to żebym bronił Intela,jestem od tego jak najdalszy.Ale ile tysięcy osób potraciło swoje fortuny z powodu tych luk? Prawdopodobnie nikt?:)

Może dlatego nie słyszałeś, bo jak ktoś się zgłasza z takim problemem do Intela ten daje Ci papiery do podpisu, płaci byś cicho siedział.
To samo chciał zrobić z Tymi zgłaszającymi.
yajiZobacz profil
Poziom ostrzeżenia: 0%
yaji2019.05.15, 18:38
12#8
Jeden procen tu, jeden tam, a Apple twierdzi że koszt wyłączenia HT to aż 40% wydajności:

Full mitigation requires using the Terminal app to enable an additional CPU instruction and disable hyper-threading processing technology. This capability is available for macOS Mojave, High Sierra, and Sierra in the latest security updates and may reduce performance by up to 40 percent2, with the most impact on intensive computing tasks that are highly multithreaded.


https://support.apple.com/en-us/HT210107
Może Intel testował w jednowątkowych aplikacjach?
AlejajcaZobacz profil
Poziom ostrzeżenia: 0%
Alejajca2019.05.15, 18:43
14#9
KowalPachołekFocusa @ 2019.05.15 18:00  Post: 1203190
Ponieważ one zwykłemu Kowalskiemu w niczym nie zaszkodzą?:)

Kowalskiemu, który ma konta w bankach, selfie i prywatne rozmówki na Fejsie i innych portalach...
Kod można wstrzyknąć w dowolna stronę, nawet potencjalnie bezpieczną jak Lab i ktoś uzyskuje dostęp do zasobów Kowalskiego.
StjepanZobacz profil
Poziom ostrzeżenia: 0%
Stjepan2019.05.15, 18:56
-14#10
Już na konkurencji czytałem o tych lukach, podobno są na nie odporne programowo ostatnie trzy generacje, ale ile w tym prawdy nie wiem.
Zaloguj się, by móc komentować
1