CPU漏洞引爆全球危机,深信服持续为您提供应对指南

近日,Google安全团队爆出Intel的CPU存在安全漏洞,编号分别为CVE-2017-5753、CVE-2017-5715以及CVE-2017-5754。本次漏洞是由于CPU的设计中“预测执行”和“乱序执行”在实现上存在缺陷导致的,攻击者可以通过漏洞获取宿主机的敏感信息,如密码等。本次漏洞影响Intel自1995年之后生产的所有CPU。

漏洞分析

漏洞危害

本次披露的漏洞影响Intel自1995年之后生产的所有CPU,同时受影响的还有AMD、ARM等存在“预测执行”等能力的CPU,在这些CPU架构之上的Android、iOS、Linux及Windows等主流操作系统均受影响。

针对CPU进行攻击有Meltdown和Spectre两种方法。 Meltdown涉及CVE-2017-5754漏洞,攻击者可以通过漏洞获取系统内核中的数据,破坏应用和系统的隔离,该漏洞主要是Intel的CPU受影响。Spectre涉及CVE-2017-5753、CVE-2017-5715两个漏洞,攻击者可以通过漏洞获取其他进程中的数据,破坏了应用之间的隔离,该漏洞影响所有具有“预测执行”等能力的CPU,包括AMD及ARM。

两种类型的攻击均可能导致攻击者获取敏感信息,也可以导致ASLR等漏洞缓解机制的失效,辅助进行其他远程代码执行漏洞的利用。但如果攻击者想要利用这些漏洞,需要在被攻击主机上执行相关CPU指令,如诱使浏览器打开恶意网页通过JavaScript远程执行,或者直接通过低权限在操作系统上执行代码。

漏洞检测

目前验证漏洞的PoC(https://www.exploit-db.com/exploits/43427/)已经公布,可以通过PoC验证是否受漏洞影响。以下是在linux系统本地执行Spectre漏洞验证PoC的结果,可以将 "The Magic Words are Squeamish Ossifrage." 这个字符串序列打印出来该主机表明受漏洞影响:

在Windows受漏洞影响的主机运行PoC结果如下:

解决方案

CPU、操作系统、浏览器厂商解决方案

此次CPU漏洞事件修复难度较高,需要CPU厂商、操作系统厂商等共同协作进行修复,目前部分CPU厂商、操作系统厂商、浏览器厂商采取了措施来解决该问题。

1、CPU芯片厂商

以下是部分CPU芯片厂商的通告,请持续关注并在CPU芯片厂商给出升级补丁后尽快进行升级。

Intel:

Intel宣称已经发布了针对其主流CPU的更新,并将在下周末前发布针对近5年90%存在此问题的CPU的安全更新:

https://newsroom.intel.com/news/intel-responds-to-security-research-findings

AMD:

AMD主要受Spectre漏洞影响,其安全公告中表示该漏洞由软件和操作系统厂商来发布补丁修复:

https://www.amd.com/en/corporate/speculative-execution

ARM:

ARM提供了新的编译器并且发布了Linux的ARM内核补丁:

https://developer.arm.com/support/security-update

2、操作系统厂商

目前已经有Windows、MacOS、Redhat等操作系统给出了相关解决方案。

Windows:

https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

MacOS:

升级至10.13.2版本

Redhat:

https://access.redhat.com/security/vulnerabilities/speculativeexecution

https://access.redhat.com/errata/RHSA-2018:0007

https://access.redhat.com/errata/RHSA-2018:0008

SUSE Linux Enterprise Server:

https://www.suse.com/security/cve/CVE-2017-5754/

https://www.suse.com/security/cve/CVE-2017-5753/

https://www.suse.com/security/cve/CVE-2017-5715/

3、浏览器

针对这个漏洞攻击者可能利用浏览器进行远程攻击,浏览器厂商也针对此次漏洞进行了版本升级。

FireFox:

更新至57版本:

https://download-installer.cdn.mozilla.net/pub/firefox/releases/57.0.4/

IE及Edge:

https://support.microsoft.com/zh-cn/help/4056890/windows-10-update-kb4056890

Chrome:

更新至64版本(预计1月23日更新)

深信服解决方案

1、通过深信服检测工具进行检测,并及时升级补丁:

用户可以根据操作系统类型,下载对应的工具,检测是否受到该漏洞影响,具体下载地址如下,如果存在漏洞,请及时下载补丁进行升级。

Windows版检测工具:

Linux版检测工具:

2、此次漏洞存在一种攻击者诱使受害者打开恶意网页并执行其中的JavaScript代码来实现远程代码攻击的可能,针对这种情况,对于使用深信服下一代防火墙的用户,请及时更新恶意URL地址库,杜绝恶意网页的访问,从源头上避免可能出现的漏洞利用攻击。

深信服后续跟踪计划:

本次漏洞是芯片底层设计缺陷所致,影响范围非常大。但要想利用这些漏洞,攻击者需要获取被攻击主机本地执行CPU指令的权限。如果想要远程利用该漏洞,可能通过浏览器等方式进行,那么攻击者需要诱使受害者打开恶意网页并执行其中的JavaScript代码来实现。如果您安全意识良好,不轻易打开陌生网页、陌生邮件中的附件或链接,基本不会受这种远程攻击方式的影响。

由于该漏洞影响范围广,现阶段用户仍有受到远程攻击的风险。深信服千里目安全实验室将持续关注此漏洞的最新动态,第一时间为您提供可靠完整的解决方案,协助您及时完成安全加固!

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20180107B0Q04J00?refer=cp_1026

同媒体快讯

相关快讯

扫码关注云+社区