Ktoś intensywnie testuje złośliwy kod przeciw lukom w procesorach, ataki tuż tuż

W styczniu zdążyliśmy doszczętnie zobrzydzić sobie temat lukMeltdown i Spectre, najgorszej chyba wpadki w dziedziniebezpieczeństwa, jaka przydarzyła się producentom mikroprocesorów.Niestety to nie koniec. Po cyrku z wydawaniem i wycofywaniemsoftware’owych łatek na sprzęt, które zmniejszały wydajność iszkodziły stabilności pracy, na horyzoncie zaczynają pojawiać siękonkretne, nieteoretyczne zagrożenia. Zajmujący się tematembadacze alarmują – w ciągu ostatnich tygodni wykrywa się corazwięcej próbek kodu, wykorzystywanego do testowania możliwościwykradnięcia wrażliwych informacji przez sprzętowe luki wmikroprocesorach.

Głośnemu ujawnieniu informacji na temat Meltdown (CVE-2017-5754)i Spectre (CVE-2017-5715, CVE-2017-5753) towarzyszyło udostępnieniekodu dowodzącego możliwości wykorzystania tych podatności (PoC –Proof of Concept). Szybko odkryto, że do serwisu Virus Totalwgrywane są w celach testowych próbki kodu zawierające ten kod lubjego wariacje. Niewątpliwie część eksperymentów prowadzona byłaprzez whitehatów… ale liniowo rosnąca w czasie liczba unikalnychpróbek świadczy, że nie mogli to być tylko eksperci odbezpieczeństwa.

Jak informują badacze z AV-TEST, tydzień temu w ich baziemalware było już 119próbek kodu bezpośrednio związanego z podatnościami naMeltdown i Spectre – w rekordowe dni pojawiało się 15 nowych.Eksperci z Fortinetu przeanalizowalipublicznie udostępnione próbki i twierdzą, że wszystkie one sąmutacjami opublikowanego kodu PoC. Jednak istnieje ryzyko, żepojawiły się już też autorskie exploity – otóż upublicznionojedynie 83% zebranych próbek. Pozostałe 17% pozostaje niedostępnychz niewiadomych powodów, być może ze względu na podpisane umowyNDA.

Do tej pory nie namierzono żadnego szkodnika, który bezpośredniokorzystałby ze Spectre czy Meltdowna. Tempo pojawiania się nowychpróbek pokazuje jednak, że ten dzień może być bliski. Apamiętajmy, że do publicznie dostępnych repozytoriów malwarewgrywana jest jedynie część złośliwego kodu, jaki powstaje natej planecie, więc przedstawione powyżej liczby nie odzwierciedlającałego zaangażowania blackhatów.

O ile kwestia załatania Meltdowna jest łatwa, i wszystkiekomputery z procesorami Intela i wspieranymi wersjami systemówoperacyjnych powinny być bezpieczne, to ze Spectre sprawa wyglądainaczej. Eksperymenty Mozilli potwierdziły, że możliwe jestprzeprowadzenie tego ataku poprzez przeglądarkę uruchamiającązłośliwykod w JavaScripcie. Producenci wprowadzili do najnowszych wersjiFirefoksa, Chrome i Microsoft Edge zabezpieczenia polegające m.in.na zmniejszeniu precyzji wewnętrznych zegarów – jednak są to nietyle zabezpieczenia, co utrudnienia, nie gwarantujące neutralizacjizagrożenia.

Aby w pełni zabezpieczyć się przed Spectre konieczne są bowiemzmiany na poziomie kernela systemu, jak również kompilatorówwykorzystywanych do budowania oprogramowania – wszystko będziemusiało zostać przekompilowane,zazwyczaj kosztem odczuwalnego spadku wydajności.