Szczęśliwego Nowego Roku! W środę (3 stycznia) ujawniono trzy ogromne luki w zabezpieczeniach procesorów Intel, AMD, ARM i innych. Firma Microsoft wydała poprawkę awaryjną dla wszystkich obsługiwanych wersji systemu Windows, w tym Windows 7, Windows 8.1 i Windows 10, ale dodał, że użytkownicy powinni również stosować aktualizacje oprogramowania układowego, gdy staną się one dostępne u producentów urządzeń. Google załatało lukę w Androidzie aktualizacją ze stycznia 2022-2023, wydaną we wtorek (2 stycznia), chociaż na razie mają ją tylko urządzenia zarządzane przez Google. Poprawki dla macOS, iOS i Linux mogą nie być jeszcze w pełni dostępne.
Dwa ataki typu „proof-of-concept”, nazwane „Meltdown” i „Spectre”, wykorzystują te trzy wady, które dotyczą sposobu, w jaki współczesne procesory komputerowe radzą sobie z pamięcią operacyjną aplikacji i systemem podstawowym, czyli jądrem, w obecnych systemach operacyjnych.
„Meltdown i Spectre działają na komputerach osobistych, urządzeniach mobilnych i w chmurze”, mówią strony internetowe poświęcone każdej luce, które mają identyczną treść. „W zależności od infrastruktury dostawcy chmury może być możliwe kradzież danych od innych klientów”.
W blogu Google wyjaśniono, że luki umożliwiły „nieupoważnionemu podmiotowi odczytanie poufnych informacji w pamięci systemu, takich jak hasła, klucze szyfrowania lub poufne informacje otwarte w aplikacjach”.
Meltdown zaciera granice między procesami jądra a procesami użytkownika i wydaje się być ograniczony do układów Intela. Spectre kradnie dane z uruchomionych aplikacji i działa również na układach AMD i ARM. Witryny Spectre i Meltdown nie podały szczegółowo, w jaki sposób wpłynęło to na różne chipsety używane w urządzeniach mobilnych.
AMD jednak zaprzeczyło, że była dotknięta którąkolwiek z wad.
„AMD nie jest podatny na wszystkie trzy warianty”, powiedziała firma CNBC. „Ze względu na różnice w architekturze AMD uważamy, że obecnie ryzyko dla procesorów AMD jest bliskie zeru”.
Co robić
Jeśli korzystasz z systemu Windows 7, 8.1 lub 10, zastosuj opublikowaną dzisiaj aktualizację zabezpieczeń systemu Windows. Wczesne wersje poprawek zostały wysłane do użytkowników Windows Insider w listopadzie i grudniu.
„Jesteśmy w trakcie wdrażania środków łagodzących w usługach w chmurze i wydajemy dziś aktualizacje zabezpieczeń, aby chronić klientów Windows przed lukami w obsługiwanych układach sprzętowych AMD, ARM i Intel” – powiedziano w oświadczeniu Microsoftu. „Nie otrzymaliśmy żadnych informacji wskazujących, że te luki zostały wykorzystane do ataku na naszych klientów”.
Jest jednak kilka haczyków. Po pierwsze, chyba że korzystasz z laptopa lub tabletu udostępnionego przez firmę Microsoft, takiego jak Surface, Surface Pro lub Surface Book, musisz również zastosować aktualizację oprogramowania układowego od producenta komputera.
„Klienci, którzy zainstalują tylko aktualizacje zabezpieczeń dla systemu Windows ze stycznia 2022-2023–2022, nie będą korzystać ze wszystkich znanych zabezpieczeń przed lukami” - czytamy w dokumencie pomocy technicznej firmy Microsoft opublikowanym w Internecie. „Oprócz zainstalowania styczniowych aktualizacji zabezpieczeń wymagana jest aktualizacja mikrokodu procesora lub oprogramowania układowego. Powinna być ona dostępna u producenta urządzenia. Klienci urządzeń Surface otrzymają aktualizację mikrokodu za pośrednictwem aktualizacji systemu Windows”.
Po drugie, Microsoft nalega, aby klienci upewnili się, że "obsługują" uruchomione oprogramowanie antywirusowe przed zainstalowaniem poprawki. W osobnym dokumencie wyjaśniającym nową poprawkę bezpieczeństwa Microsoft twierdzi, że tylko komputery z takim oprogramowaniem otrzymają poprawkę automatycznie.
Nie jest jasne, co Microsoft rozumie przez „wspierane” oprogramowanie antywirusowe ani dlaczego Microsoft nalega, aby takie oprogramowanie znajdowało się na komputerze przed zainstalowaniem poprawki. Jest link do dokumentu, który ma to wszystko wyjaśnić, ale w momencie pisania tego tekstu późnym środowym wieczorem link donikąd nie poszedł.
Wreszcie, Microsoft przyznaje, że z poprawkami wiążą się „potencjalne spadki wydajności”. Innymi słowy, po zastosowaniu poprawek komputer może działać wolniej.
„W przypadku większości urządzeń konsumenckich wpływ może nie być zauważalny” - czytamy w poradniku. „Jednak konkretny wpływ różni się w zależności od generacji sprzętu i implementacji przez producenta chipów”.
Aby ręcznie uruchomić usługę Windows Update, kliknij przycisk Start, kliknij ikonę koła zębatego Ustawienia, kliknij opcję Aktualizacje i zabezpieczenia, a następnie kliknij opcję Sprawdź aktualizacje.
Użytkownicy Apple powinni instalować przyszłe aktualizacje, klikając ikonę Apple, wybierając App Store, klikając Aktualizacje i klikając Aktualizuj obok dowolnych elementów Apple. Na Twitterze pojawił się niepotwierdzony raport, że Apple załatał już wady w systemie macOS 10.13.2 na początku grudnia, ale numery identyfikacyjne luk (CVE) uwzględnione w grudniowych łatkach Apple nie pasują do tych przypisanych do Meltdown i Spectre.
Maszyny z Linuksem również będą wymagały poprawek i wydaje się, że coś może być już prawie gotowe. Jak wspomniano powyżej, łatka bezpieczeństwa Androida ze stycznia 2022-2023 naprawia tę lukę, chociaż na razie tylko niewielki procent urządzeń z Androidem ją otrzyma. (Nie jest jasne, ile urządzeń z Androidem jest podatnych).
Jak działają ataki
Atak Meltdown, który, o ile wiedzą naukowcy, dotyczy tylko chipów Intela opracowanych od 1995 roku (z wyjątkiem linii Itanium i linii Atom sprzed 2013 roku), umożliwia zwykłym programom dostęp do informacji systemowych, które mają być chronione. Ta informacja jest przechowywana w jądrze, głęboko zagłębionym centrum systemu, do którego operacje użytkownika nigdy nie powinny się zbliżać.
„Meltdown przełamuje najbardziej fundamentalną izolację między aplikacjami użytkownika a systemem operacyjnym” – wyjaśniły strony internetowe Meltdown i Spectre. „Ten atak umożliwia programowi dostęp do pamięci, a tym samym również do tajemnic innych programów i systemu operacyjnego”.
„Jeżeli Twój komputer ma wrażliwy procesor i działa na niezałatanym systemie operacyjnym, praca z poufnymi informacjami nie jest bezpieczna bez ryzyka ich wycieku”.
Meltdown został tak nazwany, ponieważ „zasadniczo topi granice bezpieczeństwa, które są zwykle wymuszane przez sprzęt”.
Aby naprawić powiązaną lukę, pamięć jądra musiałaby być jeszcze bardziej odizolowana od procesów użytkownika, ale jest pewien haczyk. Wydaje się, że wada istnieje po części dlatego, że współdzielenie pamięci między jądrem a procesami użytkownika umożliwia szybsze działanie systemów, a zatrzymanie tego współdzielenia może zmniejszyć wydajność procesora.
Niektóre raporty mówią, że poprawki mogą spowolnić działanie systemów nawet o 30 procent. Nasi koledzy z Tom's Hardware uważają, że wpływ na wydajność systemu byłby znacznie mniejszy.
Z drugiej strony Spectre jest uniwersalny i „przełamuje izolację między różnymi aplikacjami” – podają strony internetowe. „Pozwala napastnikowi oszukać wolne od błędów programy, które postępują zgodnie z najlepszymi praktykami, w celu ujawnienia ich tajemnic. W rzeczywistości kontrole bezpieczeństwa wspomnianych najlepszych praktyk faktycznie zwiększają powierzchnię ataku i mogą sprawić, że aplikacje będą bardziej podatne na Spectre”.
„Wszystkie nowoczesne procesory zdolne do utrzymywania wielu instrukcji w locie są potencjalnie podatne” na Spectre. „W szczególności zweryfikowaliśmy Spectre na procesorach Intel, AMD i ARM”.
Strony dalej wyjaśniają, że wykrycie takich ataków byłoby prawie niemożliwe, a oprogramowanie antywirusowe mogłoby wykryć tylko złośliwe oprogramowanie, które dostało się do systemu przed rozpoczęciem ataków. Mówią, że Spectre jest trudniejsze do przeprowadzenia niż Meltdown, ale nie ma dowodów, że podobne ataki zostały przeprowadzone „na wolności”.
Powiedzieli jednak, że Spectre, tak zwany, ponieważ nadużywa spekulacyjnego wykonywania, powszechnego procesu chipsetu, „będzie nas prześladować przez dłuższy czas”.
Utracona sztuka dochowania tajemnicy
Intel, AMD i ARM zostały poinformowane przez Google o tych błędach w czerwcu 2022-2023 r., a wszystkie zaangażowane strony starały się utrzymać to wszystko w tajemnicy, dopóki łatki nie będą gotowe w przyszłym tygodniu. Ale eksperci ds. bezpieczeństwa informacji, którzy nie byli w tajemnicy, mogli powiedzieć, że nadchodzi coś wielkiego.
Dyskusje na forach programistycznych Linuksa dotyczyły radykalnych zmian w obsłudze pamięci jądra przez system operacyjny, jednak nie ujawniono żadnych szczegółów. W tajemniczy sposób zaangażowane były osoby z adresami e-mail Microsoft, Amazon i Google. Co niezwykłe, remonty miały zostać przeniesione do kilku wcześniejszych wersji Linuksa, co wskazywałoby na naprawienie poważnego problemu z bezpieczeństwem.
To wywołało kilka dni teorii spiskowych na Reddicie i 4chan. W poniedziałek (1 stycznia) bloger nazywający siebie Python Sweetness „połączył niewidzialne kropki” w długim poście, w którym szczegółowo opisano kilka równoległych wydarzeń wśród programistów Windows i Linux dotyczących obsługi pamięci jądra.
Późny wtorek (2 stycznia). W Rejestrze zebrano wiele podobnych informacji. Zauważył również, że Amazon Web Services przeprowadzi konserwację i ponownie uruchomi swoje serwery w chmurze w nadchodzący piątek wieczorem (5 stycznia). i że Microsoft Azure Cloud miał coś podobnego zaplanowanego na 10 stycznia.
Tama pękła w środę, gdy holenderski badacz bezpieczeństwa napisał na Twitterze, że stworzył błąd sprawdzający koncepcję, który wydawał się wykorzystywać co najmniej jedną z wad.
O 3 po południu. EST W środę Intel, który odnotował spadek swoich akcji o około 10 procent w notowaniach tego dnia, wydał komunikat prasowy, który bagatelizował wady, a jego akcje odpowiednio zyskały na wartości. Ale firma przyznała, że luki mogą zostać wykorzystane do kradzieży danych i że wraz z innymi producentami chipów pracowali nad rozwiązaniem problemu.
„Intel i inni dostawcy planowali ujawnić ten problem w przyszłym tygodniu, kiedy będzie dostępnych więcej aktualizacji oprogramowania i oprogramowania układowego” – czytamy w oświadczeniu. „Jednakże Intel wygłasza dziś to oświadczenie z powodu aktualnych niedokładnych doniesień medialnych”.
O godzinie 17:00 Daniel Gruss, doktorant w dziedzinie bezpieczeństwa informacji na Politechnice w Graz w Austrii, wystąpił z ogłoszeniem Meltdown i Spectre. Powiedział Zackowi Whittakerowi z ZDNet, że „prawie każdy system” oparty na chipach Intela od 1995 roku był dotknięty wadami. Okazało się, że problem był jeszcze gorszy.
Gruss był jednym z siedmiu badaczy z Grazu, którzy w październiku 2022-2023 opublikowali artykuł techniczny opisujący teoretyczne wady w sposobie, w jaki Linux obsługiwał pamięć jądra, i zaproponowali poprawkę. Python Sweetness, pseudonimowy bloger, do którego odniesiono się na początku tej historii, najwyraźniej miał rację, domyślając się, że ten artykuł był głównym elementem usterki Intela, nad którą obecnie pracujemy.
O 6 wieczorem. EST, witryny Spectre i Meltdown zostały uruchomione wraz z wpisem na blogu Google, w którym szczegółowo opisano własne badania tej firmy. Okazało się, że dwa zespoły niezależnie odkryły Meltdown, a trzy różne zespoły jednocześnie znalazły Spectre. Projekt Zero Google i zespół Grussa w Grazu mieli swój udział w obu.
Źródło zdjęcia: Natascha Eidl/domena publiczna
- 12 błędów bezpieczeństwa komputerowego, które prawdopodobnie popełniasz
- Najlepsza ochrona antywirusowa dla komputerów PC, Mac i Android
- Twój router śmierdzi: oto jak to naprawić