ZombieLoad – новая уязвимость в процессорах Intel

Эксперты выявили уязвимость в процессорах Intel (после Specter и Meltdown), через которую вредоносная программа может шпионить. Защищены только самые последние процессоры.

Ошибки никогда не заканчиваются: уязвимость ZombieLoad в процессорах Intel позволяет вредоносным программам читать защищенные данные из параллельно работающей программы. Это возможно, даже если вредоносная программа работает в другой виртуальной машине, нежели программа-жертва. Однако обязательным условием является то, что процесс-агрессор и жертва выполняются на одном физическом ядре. ZombieLoad особенно опасен, когда Hyper-Threading (HT) активен, потому что процессы чаще разделяют между собой одни и те же физические ресурсы.

ZombieLoad затронул процессоры Intel всех поколений Core i3 / i5 / i7 / i9 и Xeon примерно с 2011 года. Только с последними вариантами девятого поколения Core i (такими как Core i3 / i5 / i7 / i9-9000 версия Coffee Lake Refresh), Intel установила Hardware защиту. Первые версии Core i9-9900K (Stepping 12) все еще были без защиты. Также защищены мобильные процессоры Whiskey Lake версии Core i-8000U и Xeon SP второго поколения типа Cascade Lake.

Для более старых процессоров Intel предоставил обновления, которые наряду с патчами для операционных систем содержат защиту от ZombieLoad. В майском обновлении Windows 10 1903 эти обновления уже присутствуют. Если такие обновления не могут быть установлены, эксперты рекомендуют отключить Hyper-Threading (HT). Но даже тогда некоторые составляющие ZombieLoad все еще могут угрожать работе вашего компьютера.

ZombieLoad угрожает пользователям и провайдерам облачных центров, на серверах которых работают виртуальные машины (ВМ) разных клиентов. Злоумышленник может легко запустить виртуальную машину с вредоносным кодом. Для ПК, ноутбуков и планшетов, так называемых клиентских систем, ситуация с угрозой зависит от нескольких факторов. Например, на многих ПК с Windows существуют пробелы в безопасности, которые проще использовать для атак. Следовательно, ZombieLoad не будет лучшим способом в качестве атаки, если только речь не идет о целенаправленной атаке на особо важную систему. То же самое относится к компьютерам с системой Linux с высокой степенью защиты, на которых обрабатываются конфиденциальные данные.

Intel обнаружила три связанные между собой уязвимости в безопасности и все вместе они говорят о Microarchitectural Data Sampling (MDS). Эти данные злоумышленник не может изменить, а только прочитать. Максимум что может злоумышленник, это косвенным образом повлиять на то, какие данные и с каких адресов памяти могут прочитаны. Поэтому атака должна выполняться либо в определенное время, либо в течение длительного времени, чтобы “записать” конфиденциальные данные.

ZombieLoad была найдена командой из Технологического университета Граца, которая также работала над Spectre и Meltdown. Компания Cyberus Technology внесла вклад в обнаружение обоих пробелов и выпустила видео, демонстрирующее атаку ZombieLoad под особо безопасными Linux Tails. Параллельное программное обеспечение считывает данные из браузера Tor, даже если оно работает на виртуальной машине. Другие уязвимости MDS Fallout, Another Meltdown Attack (YAM) и RIDL были предоставлены Bitdefender и Университетом Амстердама.