NetSpectre可利用芯片安全漏洞遠程盜取信息(雖然很慢)
責編:gltian |2018-07-30 16:18:35計算機安全研究人員設計出了遠程利用現代處理器芯片預測執行漏洞的方法。聽起來好像很嚴重,但實際上可能并沒有。
目前為止,幽靈攻擊尚需惡意代碼在脆弱主機本地執行,才可以從本機其他軟件的內存中盜取口令、密鑰和其他秘密。
如今,名為“網絡幽靈”(NetSpectre)的新變種無需在目標主機上執行漏洞利用代碼,便可盜取網絡中另一臺設備上的隱私信息,盡管滲漏得非常慢。數十億計算機和各種設備都不同程度地籠罩在數據泄露風險之下。
理論上,與執行可利用代碼段的服務建立網絡連接,便足以非常緩慢地遠程探知該應用內存中的數據。這需要精確定時和不斷衡量修正,所以,嘈雜的網絡環境,比如互聯網,就會一定程度上妨礙漏洞利用。
這還只是第一階段。下一步是要拉取感興趣的數據而不僅僅是隨便抓些臨時變量和程序內存中其他無關緊要的東西。這一步可沒那么簡單。
我們證明了幽靈攻擊未必需要本地代碼執行,還可以遠程加載。而且,利用新的秘密信道,幽靈甚至不一定需要緩存來泄露數據。
題為《網絡幽靈:通過網絡讀取任意內存》的論文寫道:該邊信道攻擊每小時僅能泄露15個比特,或者通過基于AVX的隱秘信道每小時滲漏60比特。也就是說,像是加密密鑰或身份驗證令牌之類的秘密數據可能需要數日才可以查找收集到。
高價值目標
這一數據泄露方法應引起人們的警惕,盡管數據滲漏速度可能是個限制因素。
速度上的限制,讓該攻擊僅對執行高價值目標針對性攻擊的黑客比較有吸引力,這是廣大普通用戶的福音。而只要目標系統打全了幽靈補丁,包括這最新變種的補丁,就可以阻止該攻擊。但幽靈系攻擊變幻莫測,安全界對它的認知也還很粗淺,該問題解決起來并不是那么簡單。
幽靈攻擊利用現代CPU預測執行引擎所用的分支預測機制,來迫使目標進程以可泄露秘密數據的方式訪問內存。現代處理器靠預測執行機制來高速運行軟件,它們預測程序流的走向,提前準備好所需代碼和數據。通過操作和觀察該預測執行的效果,是有可能識別出內存中本不應暴露出的數據的。
遠程幽靈攻擊中,目標設備需含有執行特定操作的代碼,比如循環讀取數組且每次讀取都檢查一遍數組邊界。該漏洞利用方法濫用了處理器微架構中引入預測執行的設計決策,并由此辨別出內存中的內容。設計出該攻擊的研究人員將這些執行特定操作的代碼段稱作“幽靈小工具”。
與本地幽靈攻擊類似,遠程幽靈攻擊也要求目標代碼中存在“幽靈小工具”。在公開網絡接口或API中含有所需“幽靈小工具”的系統,就可遭該遠程幽靈攻擊,導致任意內存被黑客通過網絡讀取。攻擊者僅僅是向受害者發送一系列精心編制的請求,然后測量響應時間,就可以從受害者的內存中漏出秘密數據。
該攻擊會向目標發送多個網絡數據包,包中含有總是處于條件語句比較判斷邊界之內的值,借之將分支預測器訓練到預計該條件判斷語句的結果是真。
不要越界
舉個例子,假定下列代碼在帶漏洞設備上執行:
if (x < bitstream_length)
if(bitstream[x])
flag = true;
黑客可嘗試利用bitstream[x]訪問,從該軟件私有內存中抽取1比特數據。攻擊者發送x落在邊界外的一個數據包,那bitstream[x]就是目標內存中的一個秘密比特了。
分支預測器會假定邊界檢查結果為真,該內存訪問得到預測執行。
研究人員在今年早些時候就將自己的發現通報給了英特爾,但英特爾似乎并不是太驚恐。基本上,只要你已經更新了代碼和應用以緩解之前的幽靈漏洞利用,那網絡幽靈也騷擾不到你。
網絡幽靈是邊界檢查繞過(CVE-2017-5753)漏洞的一個應用,而通過軟件代碼檢查與修改,可以確保預測停止屏障矗立在合適的地方,也就緩解了此類漏洞利用。
英特爾表示,已在《分析潛在邊界檢查繞過漏洞》白皮書中加入了相關信息,并致謝報告了該信息的研究人員。
Red Hat 則稱其一直在與研究人員合作,并在27號發布的博客文章中公布了該漏洞對其產品的影響情況。Red Hat 首席Arm架構師兼計算機微架構主管表示:“我們未在用戶空間發現任何可行的幽靈小工具攻擊,但我們仍在積極審計通過網絡監聽的所有守護進程及其他技術棧。”
截至目前,就像其他幽靈與熔斷變種及亞變種一樣,并未發現有惡意軟件在利用這些漏洞。
《網絡幽靈:通過網絡讀取任意內存》的論文:
https://misc0110.net/web/files/netspectre.pdf
《分析潛在邊界檢查繞過漏洞》白皮書: