騰訊御安全深度解讀影響全球的CPU漏洞:熔斷與幽靈
【關(guān)鍵詞:騰訊御安全,應(yīng)用漏洞,應(yīng)用安全】
?
?
一、漏洞背景和影響?
1
月4日,國(guó)外安全研究機(jī)構(gòu)公布了兩組CPU漏洞:Meltdown(熔斷),對(duì)應(yīng)漏洞CVE-2017-5754;Spectre(幽靈),對(duì)應(yīng)漏洞CVE-2017-5753/CVE-2017-5715。
由于漏洞嚴(yán)重而且影響范圍廣泛,引起了全球的關(guān)注。利用Meltdown漏洞,低權(quán)限用戶(hù)可以訪問(wèn)內(nèi)核的內(nèi)容,獲取本地操作系統(tǒng)底層的信息;當(dāng)用戶(hù)通過(guò)瀏覽器訪問(wèn)了包含Spectre惡意利用程序的網(wǎng)站時(shí),用戶(hù)的如帳號(hào),密碼,郵箱等個(gè)人隱私信息可能會(huì)被泄漏;在云服務(wù)場(chǎng)景中,利用Spectre可以突破用戶(hù)間的隔離,竊取其他用戶(hù)的數(shù)據(jù)。Meltdown漏洞影響幾乎所有的Intel CPU和部分ARM CPU,而Spectre則影響所有的Intel CPU和AMD CPU,以及主流的ARM CPU。從個(gè)人電腦、服務(wù)器、云計(jì)算機(jī)服務(wù)器到移動(dòng)端的智能手機(jī),都受到這兩組硬件漏洞的影響。
[if !vml]
[endif]
這兩組漏洞來(lái)源于芯片廠商為了提高CPU性能而引入的新特性。現(xiàn)代CPU為了提高處理性能,會(huì)采用亂序執(zhí)行(Out-of-Order Execution)和預(yù)測(cè)執(zhí)行(SpeculativePrediction)。亂序執(zhí)行是指CPU并不是嚴(yán)格按照指令的順序串行執(zhí)行,而是根據(jù)相關(guān)性對(duì)指令進(jìn)行分組并行執(zhí)行,最后匯總處理各組指令執(zhí)行的結(jié)果。預(yù)測(cè)執(zhí)行是CPU根據(jù)當(dāng)前掌握的信息預(yù)測(cè)某個(gè)條件判斷的結(jié)果,然后選擇對(duì)應(yīng)的分支提前執(zhí)行。亂序執(zhí)行和預(yù)測(cè)執(zhí)行在遇到異常或發(fā)現(xiàn)分支預(yù)測(cè)錯(cuò)誤時(shí),CPU會(huì)丟棄之前執(zhí)行的結(jié)果,將 CPU的狀態(tài)恢復(fù)到亂序執(zhí)行或預(yù)測(cè)執(zhí)行前的正確狀態(tài),然后選擇對(duì)應(yīng)正確的指令繼續(xù)執(zhí)行。這種異常處理機(jī)制保證了程序能夠正確的執(zhí)行,但是問(wèn)題在于,CPU恢復(fù)狀態(tài)時(shí)并不會(huì)恢復(fù)CPU緩存的內(nèi)容,而這兩組漏洞正是利用了這一設(shè)計(jì)上的缺陷進(jìn)行測(cè)信道攻擊。
二、漏洞原理解析?
1、Meltdown漏洞原理
亂序執(zhí)行可以簡(jiǎn)單的分為三個(gè)階段,如下圖所示:
[if !vml]
[endif]
每個(gè)階段執(zhí)行的操作如下:
1)獲取指令,解碼后存放到執(zhí)行緩沖區(qū)Reservations Stations
2
)亂序執(zhí)行指令,結(jié)果保存在一個(gè)結(jié)果序列中
3
)退休期Retired Circle,重新排列結(jié)果序列及安全檢查(如地址訪問(wèn)的權(quán)限檢查),提交結(jié)果到寄存器
結(jié)合Meltdown利用的代碼片段來(lái)看:
; rcx = kernel address
; rbx = probe array
1 ? mov al, byte [rcx]
2 ? shl rax, 0xc
3 ? mov rbx, qword [rbx +
rax]
Meltdown漏洞的利用過(guò)程有4個(gè)步驟:
1) ? ? ? ?指令獲取解碼
2)
亂序執(zhí)行3條指令,指令2和指令3要等指令1中的讀取內(nèi)存地址的內(nèi)容完成后才開(kāi)始執(zhí)行,指令3會(huì)將要訪問(wèn)的rbx數(shù)組元素所在的頁(yè)加載到CPU Cache中。
3)
對(duì)2)的結(jié)果進(jìn)行重新排列,對(duì)1-3條指令進(jìn)行安全檢測(cè),發(fā)現(xiàn)訪問(wèn)違例,會(huì)丟棄當(dāng)前執(zhí)行的所有結(jié)果,恢復(fù)CPU狀態(tài)到亂序執(zhí)行之前的狀態(tài),但是并不會(huì)恢復(fù)CPU Cache的狀態(tài)
4)
通過(guò)緩存測(cè)信道攻擊,可以知道哪一個(gè)數(shù)組元素被訪問(wèn)過(guò),也即對(duì)應(yīng)的內(nèi)存頁(yè)存放在CPU Cache中,從而推測(cè)出內(nèi)核地址的內(nèi)容
2、Spectre漏洞原理
與Meltdown類(lèi)似,Spectre的原理是,當(dāng)CPU發(fā)現(xiàn)分支預(yù)測(cè)錯(cuò)誤時(shí)會(huì)丟棄分支執(zhí)行的結(jié)果,恢復(fù)CPU的狀態(tài),但是不會(huì)恢復(fù)CPU Cache的狀態(tài),利用這一點(diǎn)可以突破進(jìn)程間的訪問(wèn)限制(如瀏覽器沙箱)獲取其他進(jìn)程的數(shù)據(jù)。
Spectre的利用代碼片段:
if (x ?< array1_size) {
y = ?array2[array1[x] *
256];
// do ?something using Y
that is
// ?observable when
speculatively executed
}
具體攻擊過(guò)程可以分為三個(gè)階段:
1)訓(xùn)練CPU的分支預(yù)測(cè)單元使其在運(yùn)行利用代碼時(shí)會(huì)進(jìn)行特定的預(yù)測(cè)執(zhí)行
2
)預(yù)測(cè)執(zhí)行使得CPU將要訪問(wèn)的地址的內(nèi)容讀取到CPU
Cache中
3)
通過(guò)緩存測(cè)信道攻擊,可以知道哪一個(gè)數(shù)組元素被訪問(wèn)過(guò),也即對(duì)應(yīng)的內(nèi)存頁(yè)存放在CPU Cache中,從而推測(cè)出地址的內(nèi)容。
三、漏洞驗(yàn)證 ?
目前開(kāi)源社區(qū)github已經(jīng)放出來(lái)了漏洞的驗(yàn)證代碼(PoC),如下:
https://github.com/Eugnis/spectre-attack
https://github.com/feruxmax/meltdown
https://github.com/gkaindl/meltdown-poc
https://github.com/turbo/KPTI-PoC-Collection
經(jīng)過(guò)我們和其他安全研究人員實(shí)際驗(yàn)證,漏洞可在Windows、Linux、Mac-OS等操作系統(tǒng)下,成功讀取任意指定內(nèi)存地址的內(nèi)容,如下圖所示:
Windows:
[if !vml]
[endif]
Ubuntu 16.04:
[if !vml]
[endif]
此外,有安全研究人員驗(yàn)證了可以通過(guò)漏洞獲取到用戶(hù)正在輸入的密碼,不過(guò)暫未放出相關(guān)代碼。如下圖所示:
[if !vml]
[endif]
四、漏洞修復(fù)進(jìn)展?
針對(duì)這兩組漏洞,各家芯片廠商,操作系統(tǒng)廠商,瀏覽器廠商,以及云服務(wù)廠商,都積極采取措施,發(fā)布安全公告,并及時(shí)推出緩解措施和修復(fù)補(bǔ)丁。
1、芯片廠商
1.1 Intel
Intel已經(jīng)確認(rèn)自身CPU中存在相關(guān)問(wèn)題,并正與包括AMD、ARM和多家操作系統(tǒng)廠商在內(nèi)的許多其他科技公司緊密合作,制定行業(yè)范圍的方法,以便及時(shí)和建設(shè)性地解決這些漏洞。另外Intel認(rèn)為有些媒體里面的報(bào)道并不準(zhǔn)確,這些問(wèn)題不僅僅Intel,其他廠商的CPU中也存在相關(guān)問(wèn)題。這些問(wèn)題的修復(fù)對(duì)性能的影響和具體的工作場(chǎng)景相關(guān),對(duì)一般用戶(hù)而言,影響并不顯著,而且隨著時(shí)間的推移這些影響都會(huì)得到緩解。
Intel已經(jīng)提供軟件和固件更新以解決這些漏洞,預(yù)計(jì)下周末之前會(huì)修復(fù)最近5年中90%的CPU。Intel的安全公告如下:
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr
https://newsroom.intel.com/news/intel-responds-to-security-research-findings/
https://newsroom.intel.com/news-releases/intel-issues-updates-protect-systems-security-exploits/
https://www.intel.com/content/www/us/en/architecture-and-technology/facts-about-side-channel-analysis-and-intel-products.html
1.2 ARM
ARM確認(rèn)大部分處理器不受漏洞影響,但給出了一個(gè)受影響的處理器列表。ARM認(rèn)為,利用這些漏洞進(jìn)行攻擊需要在本地運(yùn)行惡意軟件,用戶(hù)及時(shí)更新軟件和不點(diǎn)擊來(lái)歷不明的鏈接會(huì)降低攻擊風(fēng)險(xiǎn)。針對(duì)linux上的程序,ARM提供了新編譯器,可用新編譯器重新編譯。另外發(fā)布了Linux ARM內(nèi)核補(bǔ)丁,用于修補(bǔ)漏洞,相關(guān)頁(yè)面如下:
https://developer.arm.com/support/security-update/download-the-whitepaper
https://developer.arm.com/support/security-update
1.3 AMD
AMD針對(duì)每個(gè)漏洞做了回復(fù),第一個(gè)漏洞由軟件、操作系統(tǒng)廠商發(fā)布補(bǔ)丁解決,性能影響非常輕微,其他兩個(gè)漏洞由于AMD CPU特殊的架構(gòu),都不受影響。具體如下:
https://www.amd.com/en/corporate/speculative-execution
2、操作系統(tǒng)
2.1 Windows
微軟已經(jīng)發(fā)布了安全通告,修復(fù)了IE、Edge、Windows內(nèi)核中相關(guān)問(wèn)題,并針對(duì)普通用戶(hù)、服務(wù)器用戶(hù)、云用戶(hù)各自給出了防護(hù)指南。微軟普通用戶(hù):
https://support.microsoft.com/help/4073119
服務(wù)器用戶(hù):
https://support.microsoft.com/help/4072698
云用戶(hù):
https://support.microsoft.com/help/4073235
微軟安全通告:
https://support.microsoft.com/en-us/help/4073235/cloud-protections-speculative-execution-side-channel-vulnerabilities
2.2 Linux
Linux內(nèi)核開(kāi)發(fā)者Thomas
Gleixner在2017年12月在Linux內(nèi)核郵件列表中就新的KAISER隔離補(bǔ)丁發(fā)布了說(shuō)明。目前有人懷疑這批補(bǔ)丁可能正是為了解決Linux系統(tǒng)當(dāng)中的Metldown與Spectre漏洞。具體如下:
https://lkml.org/lkml/2017/12/4/709
2.3 RedHat
紅帽公司已經(jīng)發(fā)布一項(xiàng)建議,其中列出受到影響的產(chǎn)品及其當(dāng)前狀態(tài)。建議內(nèi)容表明:對(duì)于正在運(yùn)行受影響版本產(chǎn)品的紅帽客戶(hù),強(qiáng)烈建議用戶(hù)盡快根據(jù)指導(dǎo)清單進(jìn)行更新。所有受影響產(chǎn)品都應(yīng)安裝修復(fù)補(bǔ)丁,借以緩解CVE-2017-5753 (變種1)與CVE-2017-5754
(變種3)漏洞。CVE-2017-5715(變種2)可通過(guò)本地以及虛擬訪客邊界兩種方式被加以利用。具體如下:
https://access.redhat.com/security/vulnerabilities/speculativeexecution?sc_cid=701f2000000tsLNAAY&
2.4
安卓
Android團(tuán)隊(duì)于2018年1月更新了安全通告:CVE-2017-5715、CVE-2017-5753以及CVE-2017-5754為已經(jīng)得到公開(kāi)披露的一系列與處理器內(nèi)推測(cè)執(zhí)行相關(guān)的漏洞。Android尚未發(fā)現(xiàn)任何在基于ARM的Android設(shè)備之上重現(xiàn)上述漏洞以進(jìn)行的未授權(quán)信息泄露行為。為了提供額外的保護(hù)措施,本公告當(dāng)中包含的CVE-2017-13218更新減少了對(duì)高精度定時(shí)器的訪問(wèn),旨在限制旁路攻擊(例如CVE-2017-5715、CVE-2017-5753以及CVE-2017-5754)所有已知變種對(duì)ARM處理器的影響。具體如下:
https://source.android.com/security/bulletin/2018-01-01
3、瀏覽器
利用漏洞在瀏覽器中進(jìn)行攻擊依賴(lài)于新特性SharedArrayBuffer和用于高精度時(shí)間計(jì)算的函數(shù)performance.now。各個(gè)瀏覽器表示都采取了以下兩個(gè)緩解措施:
移除瀏覽器中可用于攻擊的SharedArrayBuffer特性
降低用于高精度時(shí)間計(jì)算的函數(shù)performance.now的精確性
加上這兩個(gè)緩解措施后,JS版本的漏洞PoC代碼將無(wú)法觸發(fā):
[if !vml]
[endif]
3.1 Microsoft Edge
微軟已經(jīng)發(fā)布了瀏覽器補(bǔ)丁:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
3.2 FireFox
Mozilla從FireFox 57版本開(kāi)始采取了這兩個(gè)緩解措施:
https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/
3.3 Chrome
谷歌從Chrome 64版本開(kāi)始采取了這兩個(gè)緩解措施:
https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html
4、云服務(wù)廠商
4.1 Amazon
Amazon方面已經(jīng)發(fā)布一項(xiàng)安全公告,指出:此項(xiàng)安全漏洞廣泛存在于過(guò)去20年推出的英特爾、AMD以及ARM等各類(lèi)現(xiàn)代處理器架構(gòu)當(dāng)中,影響范圍涵蓋服務(wù)器、臺(tái)式機(jī)以及移動(dòng)設(shè)備。Amazon EC2體系中除極少數(shù)實(shí)例外,其余皆受到嚴(yán)格保護(hù)。剩余部分的修復(fù)工作將在接下來(lái)數(shù)小時(shí)內(nèi)完成,并附有相關(guān)實(shí)例維護(hù)通知。雖然AWS所執(zhí)行的更新能夠切實(shí)保護(hù)底層基礎(chǔ)設(shè)施,但為了充分解決此次問(wèn)題,客戶(hù)還應(yīng)對(duì)實(shí)例中的操作系統(tǒng)進(jìn)行修復(fù)。目前Amazon Linux更新已經(jīng)開(kāi)始發(fā)布,具體如下:
https://aws.amazon.com/security/security-bulletins/AWS-2018-013/
4.2
阿里云
為解決處理器芯片的安全問(wèn)題,阿里云將在北京時(shí)間2018年1月12日凌晨1點(diǎn)進(jìn)行虛擬化底層的升級(jí)更新。屆時(shí),阿里云將采用熱升級(jí)的方式,絕大多數(shù)客戶(hù)不會(huì)受到影響。但個(gè)別客戶(hù)可能需要手動(dòng)重啟,阿里云建議客戶(hù)提前準(zhǔn)備運(yùn)營(yíng)預(yù)案及數(shù)據(jù)備份。
4.3 騰訊云
騰訊云將于北京時(shí)間2018年1月10日凌晨01:00-05:00通過(guò)熱升級(jí)技術(shù)對(duì)硬件平臺(tái)和虛擬化平臺(tái)進(jìn)行后端修復(fù),期間客戶(hù)業(yè)務(wù)不會(huì)受到影響。對(duì)于極少量不支持熱升級(jí)方式的,騰訊云另行安排時(shí)間手動(dòng)重啟修復(fù),這部分服務(wù)器騰訊云安全團(tuán)隊(duì)將會(huì)另行進(jìn)行通知,協(xié)商升級(jí)時(shí)間。
五、漏洞修復(fù)存在的問(wèn)題?
由于漏洞是芯片底層設(shè)計(jì)上的缺陷導(dǎo)致的,修復(fù)起來(lái)會(huì)非常復(fù)雜,同時(shí)難以完美修復(fù)。從目前的情況來(lái)看,漏洞很難通過(guò)CPU微碼修復(fù),更多是依賴(lài)于OS級(jí)的修復(fù)程序。
修復(fù)程序本身也存在諸多問(wèn)題。以Windows 10為例,微軟于北京時(shí)間1月4號(hào)凌晨緊急發(fā)布了1月份系統(tǒng)安全更新,但補(bǔ)丁存在明顯的性能和兼容性的問(wèn)題:
更新可能會(huì)讓受影響的系統(tǒng)性能下滑30%
更新可能會(huì)導(dǎo)致部分軟件(安全軟件等)不兼容從而系統(tǒng)藍(lán)屏
出于兼容性考慮,Windows Update并不會(huì)在所有的電腦環(huán)境中進(jìn)行自動(dòng)更新,而是在其認(rèn)為軟件比較兼容的情況下 才會(huì)進(jìn)行自動(dòng)更新。另外,對(duì)于有需要更新的用戶(hù),可以通過(guò)下載微軟相關(guān)補(bǔ)丁包,進(jìn)行手動(dòng)運(yùn)行修復(fù)安全威脅。
根據(jù)我們的實(shí)際測(cè)試,性能問(wèn)題對(duì)于普通用戶(hù)來(lái)說(shuō),影響并不大:只有在極端的測(cè)試下,才會(huì)出現(xiàn)明顯的性能問(wèn)題;而正常的使用過(guò)程中一般不會(huì)出現(xiàn)。但是兼容性問(wèn)題確實(shí)比較嚴(yán)重:在有安全軟件,以及一些游戲的電腦上,安裝補(bǔ)丁比較容易出現(xiàn)藍(lán)屏現(xiàn)象。這也使得我們和其他安全廠商采取了比較保守的策略,暫時(shí)不主動(dòng)推送微軟的補(bǔ)丁,避免造成用戶(hù)電腦無(wú)法正常使用。
六、漏洞對(duì)普通用戶(hù)的影響??
雖然漏洞影響范圍廣泛,并引起全球關(guān)注,但受影響最大的主要是云服務(wù)廠商,對(duì)于普通用戶(hù)來(lái)說(shuō),大可不必過(guò)于恐慌。
首先,雖然漏洞細(xì)節(jié)以及PoC已經(jīng)公開(kāi),但是并不能直接運(yùn)用于攻擊。漏洞運(yùn)用于真實(shí)攻擊還有許多細(xì)節(jié)問(wèn)題需要解決,目前也沒(méi)有一個(gè)穩(wěn)定通用,同時(shí)可以造成明顯嚴(yán)重后果(竊取賬號(hào)密碼等)的漏洞利用代碼;
其次,我們和其他安全廠商目前也還沒(méi)有監(jiān)控到利用這些漏洞進(jìn)行的真實(shí)攻擊,一旦出現(xiàn)真實(shí)攻擊,我們將第一時(shí)間跟進(jìn),確保用戶(hù)安全;
另外,對(duì)于普通用戶(hù)而言,漏洞可造成的主要危害在于用瀏覽器訪問(wèn)了一個(gè)帶有漏洞利用代碼的網(wǎng)頁(yè),導(dǎo)致敏感信息(賬號(hào)密碼等)泄露。只要養(yǎng)成良好的上網(wǎng)習(xí)慣,不輕易點(diǎn)擊陌生人發(fā)來(lái)的鏈接,基本不會(huì)受到漏洞影響;同時(shí),瀏覽器針對(duì)漏洞發(fā)布的補(bǔ)丁和緩解措施簡(jiǎn)單有效,而且不會(huì)造成性能下降或兼容性問(wèn)題,用戶(hù)可以選擇將瀏覽器升級(jí)到最新版本,從而避免受到漏洞攻擊。
七、結(jié)語(yǔ)?
這些漏洞未來(lái)一段時(shí)間內(nèi)仍然是各界關(guān)注的重點(diǎn),騰訊電腦管家安全團(tuán)隊(duì)將對(duì)漏洞動(dòng)態(tài)保持持續(xù)關(guān)注,同時(shí)對(duì)漏洞做更加深入的分析和研究,從而為廣大用戶(hù)提供更加準(zhǔn)確的參考信息,以及更加可靠的解決方案。
八、關(guān)于騰訊安全實(shí)驗(yàn)室
騰訊移動(dòng)安全實(shí)驗(yàn)室:基于騰訊手機(jī)管家產(chǎn)品服務(wù),通過(guò)終端安全平臺(tái)、網(wǎng)絡(luò)安全平臺(tái)和硬件安全平臺(tái)為移動(dòng)產(chǎn)業(yè)打造云管端全方位的安全解決方案。其中騰訊御安全專(zhuān)注于為個(gè)人和企業(yè)移動(dòng)應(yīng)用開(kāi)發(fā)者,提供全面的應(yīng)用安全服務(wù)。
騰訊安全反詐騙實(shí)驗(yàn)室:匯聚國(guó)際最頂尖白帽黑客和多位騰訊專(zhuān)家級(jí)大數(shù)據(jù)人才,專(zhuān)注反詐騙技術(shù)和安全攻防體系研究。反詐騙實(shí)驗(yàn)室擁有全球最大安全云數(shù)據(jù)庫(kù)并服務(wù)99%中國(guó)網(wǎng)民。
本文由騰訊安全聯(lián)合實(shí)驗(yàn)室原創(chuàng),轉(zhuǎn)載需注明出處!
|??;????
