Meltdown與Spectre：近期CPU特性漏洞安全公告

0x00 事件描述

2018年1月4日，Jann Horn等安全研究者披露了"Meltdown"(CVE-2017-5754)和"Spectre"(CVE-2017-5753 & CVE-2017-5715)兩組CPU特性漏洞。

據(jù)悉，漏洞會造成CPU運作機制上的信息泄露，低權級的攻擊者可以通過漏洞來遠程泄露（瀏覽器形式）用戶信息或本地泄露更高權級的內(nèi)存信息。

實際攻擊場景中，攻擊者在一定條件下可以做到，

• 泄露出本地操作系統(tǒng)底層運作信息，秘鑰信息等；

• 通過獲取泄露的信息，可以繞過內(nèi)核(Kernel), 虛擬機超級管理器(HyperVisor)的隔離防護；

• 云服務中，可以泄露到其它租戶隱私信息；

• 通過瀏覽器泄露受害者的帳號，密碼，內(nèi)容，郵箱, cookie等用戶隱私信息；

目前相關的平臺，廠商，軟件提供商都在積極應對該系列漏洞，部分廠商提供了解決方案。

經(jīng)過360安全團隊評估，"Meltdown"和"Spectre"漏洞影響嚴重，修復流程較復雜，建議相關企業(yè)/用戶務必作好相關的修復評估工作。

0x01 事件影響面

影響面

漏洞風險等級嚴重，影響廣泛：

• 近20年的Intel, AMD,　Qualcomm廠家和其它ARM的處理器受到影響；

• 因為此次CPU漏洞的特殊性，包括Linux, Windows, OSX等在內(nèi)的操作系統(tǒng)平臺參與了修復；

• Firefox, Chrome, Edge等瀏覽器也發(fā)布了相關的安全公告和緩解方案；

漏洞編號

• Meltdown

• CVE-2017-5754

• Spectre漏洞

• CVE-2017-5715

• CVE-2017-5753

相關安全公告

• Intel

• Microsoft

• Amazon
  

• ARM
  

• Google
  

• MITRE
  

• Red Hat
  

• Xen
  

• Mozilla
  

• VMware
  

• AMD
  

0x02 漏洞信息

注：　本段文字中部分引用了相關安全公告，如有異議請聯(lián)系cert@#。

現(xiàn)代處理器（CPU）的運作機制中存在兩個用于加速執(zhí)行的特性，推測執(zhí)行（Speculative Execution）和間接分支預測（Indirect Branch Prediction)。

表面上看，處理器是依次順序執(zhí)行既定的處理器指令。但是，現(xiàn)代處理器為了更好利用處理器資源，已經(jīng)開始啟用并行執(zhí)行，這個技術已經(jīng)應用了20年左右(1995年開始)。假設，基于猜測或概率的角度，在當前的指令或分支還未執(zhí)行完成前就開始執(zhí)行可能會被執(zhí)行的指令或分支，會發(fā)生什么？如果猜對了，直接使用，CPU執(zhí)行加速了。如果猜測不正確，則取消操作并恢復到原來的現(xiàn)場（寄存器，內(nèi)存等），結果會被忽略。整個過程過程并不會比沒有猜測的時候慢，即CPU的推測執(zhí)行（Speculative Execution）技術。

不幸的是，盡管架構狀態(tài)被回滾了，仍然有些副作用，比如TLB或緩存狀態(tài)并沒有被回滾。這些副作用隨后可以被黑客通過旁道攻擊(Side Channel Attack)的方式獲取到緩存的內(nèi)容。如果攻擊者能觸發(fā)推測執(zhí)行去訪問指定的敏感數(shù)據(jù)區(qū)域的話，就可能可以讀取到原本是其它用戶或更高特權級的敏感數(shù)據(jù)。

此外，猜測過程是可以被“污染”的，攻擊者可以構造出類似ROP攻擊的邏輯去影響推測過程。根據(jù)作者提供的思路，主要有三種場景：

1. “邊界檢查繞過”：通過污染分支預測，來繞過kernel或hypervisor的內(nèi)存對象邊界檢測。比如，攻擊者可以對高權級的代碼段，或虛擬環(huán)境中hypercall，通過構造的惡意代碼來觸發(fā)有越界的數(shù)據(jù)下標，造成越界訪問。

2. “分支目標注入”： 污染分支預測。抽象模型比較好的代碼往往帶有間接函數(shù)指針調(diào)用的情況，CPU在處理時需要會進行必要的內(nèi)存訪問，這個過程有點慢，所以CPU會預測分支。攻擊者可以通過類似的ROP的方式來進行信息泄露。

3. “流氓數(shù)據(jù)加載”：部分CPU上，為了速度并不是每次都對指令作權限檢查的，檢查的條件存在一定的缺陷；

實際攻擊場景中，攻擊者在一定條件下可以做到，

• 泄露出本地操作系統(tǒng)底層運作信息，秘鑰信息等；

• 通過獲取泄露的信息，可以繞過內(nèi)核(Kernel), 虛擬機超級管理器(HyperVisor)的隔離防護；

• 云服務中，可以泄露到其它租戶隱私信息；

• 通過瀏覽器泄露受害者的帳號，密碼，內(nèi)容，郵箱, cookie等用戶隱私信息；

目前幾大系統(tǒng)廠商各自在操作系統(tǒng)內(nèi)核中引入了KPTI的技術，旨在和用戶態(tài)的頁表隔離，這樣一來就可以解決"Meltdown"和"Spectre"漏洞問題。但根據(jù)相關的外部信息，這樣一來可能帶來5%到30%性能上的損失。 360安全團隊會持續(xù)關注芯片廠商修復方案的出臺。

0x03 安全建議

"Meltdown"和"Spectre"漏洞修復流程相對復雜，可能會有部分軟件不兼容問題（如殺毒軟件等）。

360CERT建議相關企業(yè)/用戶務必作好相關的修復評估工作。

具體評估和修復工作，可以參考相關廠商的安全公告。

0x04 時間線

2018-01-04 Google的Jann Horn發(fā)布漏洞信息

2018-01-04 360安全團隊發(fā)布預警通告

0x05 參考資料

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。