KAISER: nowa-stara luka w zabezpieczeniach procesorów Intel (a może też i AMD) [akt #1]

BlueBorne (Blootooth), KRACK (Wi-Fi) a teraz KAISER (Kernel Address Isolation to have Side-channels Efficiently Removed lub Kernel Page Table Isolation ) daje o sobie ponownie znać, po tym, jak w lipcu 2017 roku ujawniono lukę pozwalającą na wykonanie kodu z ominięciem ASLR za pomocą KASIER — podatności określającej luki w zabezpieczeniach procesorów x86-64 Intela. W skrajnych przypadkach ktoś wreszcie przygotuje exploit w JavaScript, który uruchomi niebezpieczny kod po odwiedzeniu złośliwej strony internetowej, powodując odczytanie kodu użytkownika na poziomie ring-0. Procesory Intela, które zostały wyprodukowane w ostatniej dekadzie są najbardziej narażone. O AMD niewiele wiadomo, ale inżynier Tom Lendacky zaprzecza, jakoby procesory AMD były podatne.

Niestety, eliminując ryzyko zdalnego wykonania kodu, czyli instalując aktualizację, zarówno procesory Intel w systemach Linux, jak i Windows staną się wolniejsze. The Register, który pierwszy poinformował o luce, szacuje, że degradacja wydajności może wynieść od 5% do nawet 30%, przy czym procesory posiadające funkcję PCID (Process-Context Identifiers) powinny najmniej odczuć spadek wydajności. Co nie zmienia faktu, że jednak odczują.

Niestety Intel nie podaje żadnych szczegółów. Media piszą wręcz o „zmowie milczenia”, czy „embargu” na wiadomości o luce. Jeżeli mielibyśmy brać pod uwagę teorie spiskowe, to oczywiście najstarsze procesory dostaną najbardziej w kość. Ich posiadacze będą zmuszeni do zakupu nowego procesora — i często — nowej płyty głównej, pamięci RAM, czy nawet zasilacza. Czyli mówiąc wprost, całej jednostki centralnej.  

Aktualizacje bezpieczeństwa dla systemu Linux już są dostępne i prawdopodobnie już powoli pojawiają się w oficjalnych repozytoriach dla dystrybucji z pakietami najświeższymi. System Windows otrzyma aktualizacje ASAP (as soon as possible). Systemy wirtualne mogą okazać się tak samo podatne na lukę i wykonanie kodu z podniesionymi uprawnieniami. Chociaż nie wszystkie — ale to jest uwarunkowane hipernadzorcą.

Luka w zabezpieczeniach pozwalająca odczytywać pamięć kernela z poziomu użytkownika dotyczy nie tylko procesorów desktopowych, ale też komercyjnych, stosowanych w chmurach obliczeniowych i w procesorach ARM.

[ Aktualizacja #1 04.01.2018 ]

Embargo na informację zostało przełamane. Eksperci z Google Project Zero opublikowali szczegóły techniczne, z których dowiadujemy się, że podatne są zarówno procesory Intel, jak i AMD, a także ARM. Oczywiście wszystkich modeli procesorów nie sposób przetestować.

  • Podatność CVE-2017-5715 umożliwia uwierzytelnionemu atakującemu odczytanie danych z pamięci podręcznej z szybkością 1500 bajtów na sekundę.
  • Podatność CVE-2017-5753 daje atakującemu sposobność ominięcia izolowanych obszarów pamięci dla różnych aplikacji, co pozwala na łatwiejsze opracowanie exploita.
  • Podatność CVE-2017-5754 pozwala na odczyt obszarów systemowej, z których korzystają aplikacje użytkownika.

Wszystkie podatności z pozytywnym skutkiem przetestowano na procesorach:

  • Intel Xeon CPU E5-1650 v3 @ 3.50GHz
  • AMD FX(tm)-8320 Eight-Core Processor
  • AMD PRO A8-9600 R7 10 COMPUTE CORES 4C+6G
  • ARM Cortex A57

Meltdown i Spectre

Jak przystało na poważne błędy bezpieczeństwa, procesory Intel i AMD mają swoje odpowiedniki graficzne "Meltdown & Spectre". I tak:

  • Meltdown (a właściwie KAISER) umożliwia odczyt zawartości pamięci systemowej (CVE-2017-5754) z procesorów Intel wyprodukowanych po 1995 roku, z wyjątkiem Intel Itanium i Intel Atom w systemach Windows, Linux i MacOS. Do końca nie wiadomo, czy KAISER dotyczy procesorów AMD i innych. Ale…
  • … Spectre (CVE-2017-5753 i CVE-2017-5715) umożliwia odczyt pamięci procesów przez złośliwy proces. I tutaj podatne są procesory Intel, AMD i ARM, a więc: komputerów PC, serwerów, smartfonów, IoT, laptopów, tabletów, smartTV i innych.

Google nie czekając do 23 stycznia (data premiery nowej wersji Chrome) opublikowało krótką instrukcję włączenia izolowania pamięć każdej otwartej karty. Jeśli nie chcecie czekać na nową wersję, to już teraz możecie włączyć flagę, wklejając ten link: „chrome://flags/#enable-site-per-process”.

„Czy mój procesor jest podatny?”

To pytanie, które może spędzać sen z powiek niejednego czytelnika. Jeżeli posiadasz procesor wyprodukowany po 1995 roku, to możesz w ciemno założyć, że tak. Aktualizacje bezpieczeństwa zalecamy wdrożyć tak szybko, jak to tylko możliwe:



Zapoznaj się z naszą ofertą

Jeśli zajmujesz się sprzedażą rozwiązań zabezpieczających, jesteś dystrybutorem, autoryzowanym partnerem lub producentem i chciałbyś na portalu AVLab zaprezentować swoje portfolio gronu potencjalnych odbiorców, zareklamować wydarzenie, oprogramowanie, sprzęt lub inne usługi — po prostu napisz do nas. A może mialeś/aś do czynienia z ransomware? Pomagamy też w odszyfrowaniu plików.
Czytaj więcej