Ktoś intensywnie testuje złośliwy kod przeciw lukom w procesorach, ataki tuż tuż

Strona główna Aktualności
image

O autorze

W styczniu zdążyliśmy doszczętnie zobrzydzić sobie temat luk Meltdown i Spectre, najgorszej chyba wpadki w dziedzinie bezpieczeństwa, jaka przydarzyła się producentom mikroprocesorów. Niestety to nie koniec. Po cyrku z wydawaniem i wycofywaniem software’owych łatek na sprzęt, które zmniejszały wydajność i szkodziły stabilności pracy, na horyzoncie zaczynają pojawiać się konkretne, nieteoretyczne zagrożenia. Zajmujący się tematem badacze alarmują – w ciągu ostatnich tygodni wykrywa się coraz więcej próbek kodu, wykorzystywanego do testowania możliwości wykradnięcia wrażliwych informacji przez sprzętowe luki w mikroprocesorach.

Głośnemu ujawnieniu informacji na temat Meltdown (CVE-2017-5754) i Spectre (CVE-2017-5715, CVE-2017-5753) towarzyszyło udostępnienie kodu dowodzącego możliwości wykorzystania tych podatności (PoC – Proof of Concept). Szybko odkryto, że do serwisu Virus Total wgrywane są w celach testowych próbki kodu zawierające ten kod lub jego wariacje. Niewątpliwie część eksperymentów prowadzona była przez whitehatów… ale liniowo rosnąca w czasie liczba unikalnych próbek świadczy, że nie mogli to być tylko eksperci od bezpieczeństwa.

Jak informują badacze z AV-TEST, tydzień temu w ich bazie malware było już 119 próbek kodu bezpośrednio związanego z podatnościami na Meltdown i Spectre – w rekordowe dni pojawiało się 15 nowych. Eksperci z Fortinetu przeanalizowali publicznie udostępnione próbki i twierdzą, że wszystkie one są mutacjami opublikowanego kodu PoC. Jednak istnieje ryzyko, że pojawiły się już też autorskie exploity – otóż upubliczniono jedynie 83% zebranych próbek. Pozostałe 17% pozostaje niedostępnych z niewiadomych powodów, być może ze względu na podpisane umowy NDA.

Do tej pory nie namierzono żadnego szkodnika, który bezpośrednio korzystałby ze Spectre czy Meltdowna. Tempo pojawiania się nowych próbek pokazuje jednak, że ten dzień może być bliski. A pamiętajmy, że do publicznie dostępnych repozytoriów malware wgrywana jest jedynie część złośliwego kodu, jaki powstaje na tej planecie, więc przedstawione powyżej liczby nie odzwierciedlają całego zaangażowania blackhatów.

O ile kwestia załatania Meltdowna jest łatwa, i wszystkie komputery z procesorami Intela i wspieranymi wersjami systemów operacyjnych powinny być bezpieczne, to ze Spectre sprawa wygląda inaczej. Eksperymenty Mozilli potwierdziły, że możliwe jest przeprowadzenie tego ataku poprzez przeglądarkę uruchamiającą złośliwy kod w JavaScripcie. Producenci wprowadzili do najnowszych wersji Firefoksa, Chrome i Microsoft Edge zabezpieczenia polegające m.in. na zmniejszeniu precyzji wewnętrznych zegarów – jednak są to nie tyle zabezpieczenia, co utrudnienia, nie gwarantujące neutralizacji zagrożenia.

Aby w pełni zabezpieczyć się przed Spectre konieczne są bowiem zmiany na poziomie kernela systemu, jak również kompilatorów wykorzystywanych do budowania oprogramowania – wszystko będzie musiało zostać przekompilowane, zazwyczaj kosztem odczuwalnego spadku wydajności.

© dobreprogramy

Komentarze