CRITICAL SWAPGS ATTACK
Что это такое, и как не дать повторно нанести ущерб
Исследователи Bitdefender выявили и продемонстрировали новую атаку по побочному каналу. Обнаружение атаки было основано на исследованиях последствий атак Spectre и Meltdown. Эта недавно обнародованная атака обходит все известные механизмы смягчения последствий, реализованные в ответ на атаки Spectre и Meltdown. Bitdefender Hypervisor Introspection делает системы Windows невосприимчивыми к новой атаке.
Атакам SWAPGS подвержены новые процессоры Intel, использующие спекулятивное исполнение.
В погоне за все более быстрыми процессорами, поставщики внедрили различные варианты спекулятивного исполнения. Эта функция заставляет CPU делать обоснованные предположения о командах, которые могут потребоваться, прежде чем он определит, являются ли эти команды необходимыми. Это спекулятивное выполнение может оставить следы в кэше, с помощью чего злоумышленники могут использовать утечки памяти ядра.
Эта атака использует комбинацию спекулятивного исполнения конкретной команды (SWAPGS) и использования этой команды ОС Windows.
Для надлежащего расследования исследовательские группы должны хорошо разбираться во внутренних компонентах CPU (прогнозирование ветвей, неупорядоченное выполнение, спекулятивное выполнение, конвейерное выполнение и кэширование), внутренних компонентах ОС (системные вызовы, обработка прерываний и исключений и KPTI), атаках на побочные каналы и спекулятивном исполнении.
Воздействие
Непропатченные системы Windows, работающие на 64-разрядном оборудовании Intel, подвержены утечке чувствительной памяти ядра, в том числе из пользовательского режима. Атака SWAPGS обходит все известные методы предотвращения атак, развернутые против предыдущих атак на уязвимости побочных каналов в спекулятивном исполнении.
Устранение этих уязвимостей является чрезвычайно сложной задачей. Поскольку они находятся глубоко внутри структуры и функционирования современных процессоров. Полное устранение уязвимостей подразумевает либо замену аппаратного обеспечения, либо отключение функций, значительно повышающих производительность. Аналогичным образом, создание механизмов смягчения последствий является весьма сложным и может препятствовать повышению эффективности, достигаемому за счет спекулятивных операций. Например, полное исключение возможности атак на побочные каналы на спекулятивную функциональность процессоров Intel потребует полного отключения гиперпотоков, что приведет к значительному снижению производительности.
Как была обнаружена и раскрыта атака SWAPGS.
С момента публикации «Meltdown and Spectre» исследователи тщательно изучили особенности спекулятивных вычислений современных процессоров, в частности побочные атаки на CPU, нацеленные на производительность современных процессоров.
Исследователи Bitdefender работали с Intel более года, прежде чем обнародовать информацию о новой атаке. Bitdefender также тесно сотрудничает с Microsoft, которая разработала и опубликовала исправление. Также, к участию в проекте были привлечены и другие производители.
Bitdefender опубликовал подробный технический документ, включающий подробный график раскрытия информации, описывающий исследования, стоящие за атакой. Bitdefender также опубликовали в блоге сообщения и видеоролики, объясняющие и демонстрирующие атаку.
Какие системы затронуты?
Атаке SWAPGS подвержены новые процессоры Intel, использующие технологию спекулятивного исполнения.
Снижение рисков
На системах Windows (без установленных патчей безопасности) Bitdefender продемонстрировал, как Hypervisor Introspection исключает возможность использовать уязвимости, на которые нацелена атака. Это не приводило к значительному снижению производительности. Хотя установка патча от Microsoft настоятельно рекомендуется, Hypervisor Introspection обеспечивает эффективное компенсирующее управление до тех пор, пока обновления безопасности не будут установлены.
Hypervisor Introspection анализирует память гостевых виртуальных машин и идентифицирует интересующие его объекты. Bitdefender нивелировал данную уязвимость до момента выхода соответствующего обновления безопасности системы, контролируя каждую команду SWAPGS уязвимости, для того чтобы предотвратить утечку памяти ядра при работе функции спекулятивного исполнения.
Несмотря на все усилия, большинству организаций очень тяжело установить все необходимые обновления на момент их публикации. Hypervisor Introspection помогает защитить системы в период между выпуском и установкой исправлений безопасности
Hypervisor Introspection уникальная технология Bitdefender. Сегодня она поддерживается Citrix Hypervisor, Xen и KVM в качестве технологии предварительного просмотра.
«Хотя установка патча от Microsoft настоятельно рекомендуется, Bitdefender Hypervisor Introspection обеспечивает компенсирующее управление, предотвращающее атаки».
О технологии Hypervisor Introspection
Hypervisor Introspection использует преимущества со стороны гипервизоров к используемому для них аппаратному обеспечению и виртуальным операционным системам, включая Windows, Linux, а также десктопные и серверные виртуальные машины. Hypervisor Introspection проверяет используемую память работающих виртуальных машин в режиме реального времени. Он ищет признаки атак, основанных на проникновении в память системы, и использующих в дальнейшем как известные, так и неизвестные уязвимости.
Hypervisor Introspection — это мощный подход к безопасности, уникальная разработка Bitdefender. Bitdefender R&D работали с Xen Project для расширения Virtual Machine Introspection (VMI) в гипервизоре Xen. Citrix применила данную функциональность в своем гипервизоре и назвала ее Direct Inspect APIs. Bitdefender также продолжает работать с KVM и другими сообществами разработчиков ПО с открытым исходным кодом, в дополнение к дальнейшим исследованиям и разработкам для невиртуализированных сценариев, таких как embedded системы.
Еще один яркий пример возможностей Hypervisor Introspection появился до выхода EternalBlue, который позже был использован в программе-вымогателе WannaCry. Не имея представления о конкретной кибератаке или уязвимости, Hypervisor Introspection заблокировал атаку, так как атака использует технику переполнения буфера.
Хотя переполнения буфера для использования уязвимостей не является чем-то новым, быстрое внедрение хакерами WannaCry технологии EternalBlue еще раз продемонстрировало, что организации часто не могут своевременно устанавливать критические исправления для предотвращения кибератак. Рассматривая известные методы атак, такие как переполнение буфера, heap spray и внедрение кода, или очень сложные атаки, использующие уязвимости на самых глубоких уровнях аппаратной функциональности, становится ясно, что организации должны использовать новый подход к безопасности такой как Hypervisor Introspection.
Hypervisor Introspection демонстрирует, как поставщики систем безопасности, оборудования, виртуализации и операционных систем могут сотрудничать для создания новых мощных подходов по сдерживанию потока новых высокотехнологичных атак.
Рекомендации
Атака SWAPGS проходит по побочному каналу и использует недостатки современных процессоров Intel. Данная атака обходит механизмы предотвращения и блокирования угроз на ранней стадии. Так как атака использует инструкции SWAPGS которые применяются по технологии спекулятивного исполнения, требуется оперативная установка патчей безопасности для ОС. Учитывая объем исследований, выполненных командой Bitdefender и выявивших атаку SWAPGS, данной уязвимости подвержены только системы Windows работающие на современных процессорах Intel, которые поддерживают технологию спекулятивного исполнения. До установки необходимых патчей безопасности, мы рекомендуем переносить рабочую инфраструктуру на гипервизоры Citrix или Xen, защищаемые Bitdefender Hypervisor Introspection.
Ограниченное раскрытие информации о других исследованиях, проведенных компанией Bitdefender в прошлом
В мае 2019 года в блоге Bitdefender было опубликовано исследование другого механизма атаки на побочный канал, основанного на спекулятивном исполнении. Технический документ под названием «Последствия для безопасности на процессорах Intel, при спекулятивном исполнении» доступен здесь.
Часто задаваемые вопросы
- Какие части очень важной информации хранятся в ядре? Пароли? Учетные данные для доступа?
- Конфиденциальной информацией может быть все, что угодно, что позволит злоумышленнику развить атаку. Например, указатели или адреса, которые могут позволить злоумышленнику повысить привилегии. Злоумышленник может также удалять другую конфиденциальную информацию, такую как пароли, ключи шифрования, токены или учетные данные доступа, которые могут присутствовать в памяти ядра.
- Может ли эта уязвимость подвергать риску данные кредитных карт, хранящиеся в аккаунтах и браузерах Google?
- Если украденная информация изначально позволяет злоумышленнику развивать атаку (например, повышение привилегий), то да, это возможно.
- Какие процессоры Intel подвержены данной атаке? Какие серии и годы выпуска?
- Это касается всех процессоров Intel, поддерживающих SWAPGS и WRGSBASE инструкции. Это означает практически все, от Intel Ivy Bridge (представлен в 2012 году) до новейших серий процессоров.
- На какие устройства оказывается воздействие? Только серверы? Подвергаются ли ноутбуки и настольные компьютеры риску?
- Любое устройство с процессором Intel Ivy Bridge или более новым: настольные компьютеры, ноутбуки, серверы и т. д. Как домашние, так и корпоративные пользователи страдают от этой уязвимости.
- Если я использую Apple, подвергаюсь ли я риску?
- Мы ожидаем, что устройства Apple не подвержены данной уязвимостью, но мы должны ждать их официального положения после релиза.
