1、综述
Meltdown和Spectre漏洞是能足以动摇全球云计算基础设施根基的漏洞,其意味着任何虚拟机的租户或者入侵了成功一个虚拟机的攻击者,都可以通过相关攻击机制去获取完整的物理机的CPU缓存数据,而这种攻击对现有虚拟化节点的防御机制是无法感知的。同时由于该漏洞的机理,导致其存在各种操作系统平台的攻击方式,因此尽管这一漏洞本身只能读取数据,不能修改数据,但由于其获取的数据中有可能包括口令、证书和其他关键数据,包括能够完整Dump内存镜像,因此这个漏洞比一般性的虚拟机逃逸对云的危害更大。尽管当前全球主要云服务商均在积极应对这一漏洞的影响,但鉴于这些云服务体系的庞大而复杂,以及大面积补丁本身所面临的复杂度和风险,漏洞利用POC已经发布并验证成功,因此这次漏洞修补已经成为一场时间赛跑。在这个过程中,攻击者所获取到的数据,将会沉淀出对于关键数据和隐私泄露、登陆凭证被窃取导致连锁攻击等次生灾害。
鉴于大量政企机构和行业进行了私有云的建设,而私有云的安全防御和补丁升级可能更弱。因此后续需要深度注意利用该漏洞在私有云中进行的攻击。
同时,该漏洞对于攻击桌面节点同样有巨大的攻击力,其大大提升了以浏览器等为攻击入口的攻击成功率。包括使传统的使用非超级用户来降低网络风险的安全策略失效。
2、漏洞介绍
该漏洞针对英特尔处理器涉及到两种攻击方法,分别为Meltdown和Spectre,Meltdown涉及CVE编号CVE-2017-5753和CVE-2017-5715,而Spectre涉及CVE编号CVE-2017-5754。
Meltdown破坏了位于用户和操作系统之间的基本隔离,此攻击允许程序访问内存,因此其他程序以及操作系统的敏感信息会被窃取。这个漏洞“熔化”了由硬件来实现的安全边界。允许低权限用户级别的应用程序“越界”访问系统级的内存,从而造成数据泄露。
Spectre则是破坏了不同应用程序之间的隔离。问题的根源在于推测执行(speculative execution),这是一种优化技术,处理器会推测在未来有用的数据并执行计算。这种技术的目的在于提前准备好计算结果,当这些数据被需要时可立即使用。在此过程中,英特尔没有很好地将低权限的应用程序与访问内核内存分开,这意味着攻击者可以使用恶意应用程序来获取应该被隔离的私有数据。
3、影响范围
本次安全事件影响到的范围很广,包括:
处理器芯片:英特尔为主、ARM、AMD,对其他处理器同样可能存在相关风险;
操作系统:Windows、Linux、macOS、Android;
云服务提供商:亚马逊、微软、谷歌、腾讯云、阿里云等;
各种私有云基础设施。
桌面用户可能遭遇到结合该机理组合攻击。
4、漏洞分析
推测性执行是一种优化技术,CPU会执行一些可能在将来会执行任务。当分支指令发出之后,传统处理器在未收到正确的反馈信息之前,是不会做任何工作的,而具有预测执行能力的新型处理器,可以估计即将执行的指令,采用预先计算的方法来加快整个处理过程。如果任务最终没有被执行,CPU还可以回滚到之前的状态,就当做什么都没发生过一样。但是这样真的安全吗?答案是,并不安全。攻击者通过寻找或构建一些指令就可以在CPU回滚的时间窗口里进行一系列的攻击。比如Google Blog中提到的边界检查绕过(CVE-2017-5753),分支目标注入(CVE-2017-5715), 恶意数据缓存加载(CVE-2017-5754)。
5、漏洞检测
Windows用户,通过使用微软公司发布的检测PowerShell脚本,能够判断Windows系统是否受漏洞影响,下面是检测方法:
https://support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe
漏洞检测poc地址:
https://github.com/turbo/KPTI-PoC-Collection
https://github.com/Eugnis/spectre-attack/blob/
https://github.com/dendisuhubdy/meltdown
6、安全防御建议
目前各大厂商均发布了修补程序,鉴于该漏洞可以获取完整的内存内容并且可以不留痕迹完成攻击,我们建议在对相关设施完成补丁修复后,应提醒用户修改登陆口令并更新证书。下面为各大厂商防御方案:
6.1 Linux
Linux内核开发人员已经发布了针对Meltdown攻击方式的解决方法:
将Linux内核升级到以上版本4.14, 4.9, 4.4, 3.16, 3.18、3.12 LTS,升级完后Linux的性能会降低30%。
6.2 Windows
微软发布了几个更新来缓解这些漏洞,并建议更新前关闭防病毒软件,以下为补丁地址:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002 请选择2018年1月安全更新,此次更新只支持Windows
Server, version 1709 (Server Core Installation)、Windows
Server 2016、Windows Server 2012 R2、Windows Server 2008 R2,并非是全面修复,部分windows还需等待CPU固件更新以及厂商修补程序。
6.3 AMD
AMD不会受到分支目标注入和恶意数据缓存加载漏洞,边界检查旁路漏洞会由软件/操作系统厂商更新解决,几乎不会影响性能,以下为官方建议:
https://www.amd.com/en/corporate/speculative-execution
6.4 RedHat
红帽的linux容器镜像不会直接受到此类漏洞影响,但是建议更新到最新容器镜像来避免漏洞。以下为官方建议:
https://access.redhat.com/security/vulnerabilities/speculativeexecution
6.5 Nvidia
Nvidia的核心业务GPU计算不受到此类漏洞影响,以下为官方声明:
https://forums.geforce.com/default/topic/1033210/nvidias-response-to-speculative-side-channels-cve-2017-5753-cve-2017-5715-and-cve-2017-5754/
6.6 ARM
Cortex系列受到影响,但是Cortex-R系列无法利用此漏洞,以下为补丁地址:
https://developer.arm.com/support/security-update
6.7 Amazon
AWS将在下周末更新大部分AWS WorkSpaces,WorkSpaces会重新启动。以下为官方建议:
https://aws.amazon.com/de/security/security-bulletins/AWS-2018-013/
6.8 Mozilla
火狐浏览器建议更新火狐为最新版本,以下为官方建议:
https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/
6.9 VMware系列产品
VMware发布了VMware
ESXi,Workstation和Fusion系列产品更新,解决了分支目标注入漏洞(CVE-2017-5715),但是并没有对边界检查旁路漏洞(CVE-2017-5753)做出相应措施,以下为各个产品的防御方案:
VMware ESXi 6.5:http://kb.vmware.com/kb/2151099
VMware ESXi 6.0:http://kb.vmware.com/kb/2151132
VMware ESXi 5.5:http://kb.vmware.com/kb/2150876
VMware
Workstation Pro,Player 12.5.8: https://www.vmware.com/support/pubs/ws_pubs.html
VMware
Fusion Pro / Fusion 12.5.9: https://www.vmware.com/support/pubs/fusion_pubs.html
详情见: https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html
