И тази година започна, както приключи миналата – с новини за сериозни проблеми в защитите на информационните системи. Този път обаче не става дума за поредната хакерска атака, а за проблеми в сърцето на компютърните ни устройства: техните процесори.
Тази седмица ви разказахме за открити проблеми в процесорите на големите производители. Ако първоначално нещата да не изглеждаха толкова страшно, то явно не е така, тъй като уязвимостите, свързани с тях могат да бъдат експлоатирани не само локално, но и по отдалечен път. Вече се публикуваха и технически подробности за Spectre и Meltdown. Специалисти публикуваха също така и PoC (proof-of-concept) код, с който доказват успеха при експлоатиране на проблемите чрез основните браузъри. Такъв беше публикуван за атака с JavaScript код към Google Chrome за активиране на Spectre, при който атакуващата страна успешно прочита част от частната памет на процеса, с който е свързана. Успех са имали и от Mozilla при сходен експеримент. От компанията съобщават, че вече са започнали работа по решение, което да адресира проблема.
От Google споделят, че атаките могат да бъдат проведени успешно, както чрез JavaScript, така и с WebAssembly. Понастоящем функция в Chrome с името Site Isolation може да минимизира влиянието на атаката, но трябва да се включи ръчно (в адресната лента на браузъра попълвате: chrome://flags/#enable-site-per-process и натискате Enter, след което намирате къде пише Strict site isolation и натискате „Активиране“, след което рестартирате браузъра). Компанията споделя, че още със следващата версия (v.64) ще бъдат направени промени по енджина V8 JavaScript, а след това и други, но в началото може да има негативен ефект и да се почувства забавяне на приложението.
Microsoft също отбелязват, че може да се проведат успешни атаки посредством JavaScript, като компанията вече е издала обновление за IE и Edge. За съжаление, появата на PoC код в свободен достъп кара експертите да предполагат, че няма да се мине много време преди да бъдат регистрирани първите опити за експлоатиране на проблемите. И не става дума само за умели хакери на държавна издръжка и единични случаи, а и масови опити за атака, например посредством зловредна реклама. Някои даже препоръчват не само инсталирането на адблокъри, но и деактивирането на JavaScript в браузъра въобще, което вземайки предвид как са изградени сайтовете, звучи доста крайно.
Въпросните проблеми, кръстени Meltdown и Spectre засягат критични уязвимости в ядрата на водещите производители на процесори и експлоатирането им позволява нарочно изготвена програма да чете части от паметта, а с това и да бъде достигната конфиденциална информация. Засегнати са десктоп системи, смартфони и мобилни устройства, сървъри и виртуализирани инстанции. Атаките, които могат да произлязат от тях са трудни за засичане и освен това не оставят следа в записите. Твърди се, че засега няма атаки, свързани с тях.
Както вече ви разказахме, Meltdown е открита от специалисти от Технологичния университет в Грац, Cyberus Technology и Google Project Zero.
Уязвимостта, именувана така, тъй като „стопява“ (melt – „стопявам“) ограниченията, които обикновено биват наложени от хардуера, може да бъде активирана за четене на случайни части от паметта на ядрото. Тя може да се експлоатира от специално изготвено за целта приложение, за прочита части от паметта, които се използват от други приложения и дори виртуални машини в облачни среди. Идентификационния номер на споменатата уязвимост е CVE-2017-5754. Тя засяга всички процесори на Intel в последните 20 години. Не е известно доколко застрашава ARM и AMD чипове. Не така стоят нещата със Spectre, която засяга процесорите на всички големи производители. Проблемът е свързан с две отделни уязвимости: CVE-2017-5753 и CVE-2017-5715. Чрез тях може да бъде нарушена изолацията между отделните приложения и атакуващата страна може да „подлъже“ приложенията да разкрият своите „тайни“, които съхраняват в паметта.