查看原文
其他

【高危漏洞预警46期(3)】关于Meltdown&Spectre漏洞处理的建议

2018-01-10 安全狗

↑ 点击上方“安全狗”关注我们


自英特尔等厂商的芯片被曝光存在高危漏洞,安全狗第一时间关注了事件进展并出具了多份分析报告。根据最新的研究分析,我们总结出了一些关于如何应对此次漏洞若干建议,作为对此前若干报告的补充(详细内容可以从我们的微信公众号“安全狗”进入历史消息查阅)。


这篇报告主要关注Intel CPU Meltdown和Spectre在不同场景下的攻击以及缓解措施,包括VMM和浏览器等场景——这些内容对AMD/ARM的攻防也有重要的借鉴价值。这些漏洞虽然影响广泛,但利用复杂,限制也很大,希望这份报告能够缓解用户一些不必要的恐慌情绪;而考虑到任何防御措施都需要付出一定的成本,我们将结合具体的情况根据不同的场景向用户提供适当的措施和建议,请用户根据自身情况选择合适的应对方式。



攻击场景分析


Meltdown和Spectre具体有三个变种

·变种1 (V1) Spectre: 绕过边界检查 (CVE-2017-5753)

·变种2 (V2) Spectre: 分支预测注入 (CVE-2017-5715)

·变种3 (V3) Meltdown: 乱序执行的CPU缓存污染 (CVE-2017-5754)

由于攻击的影响涉及了大量的云平台和操作系统,我们就不单独罗列具体版本,而是针对最典型的场景来描述如何防御这些攻击。


对虚拟机管理器 VMM 的攻击(A1)

攻击者在 VMM 管理的一个 VM 里 面,该攻击者完全的控制这个 VM,比如拥有这个VM kernel级别的权限,可以直接与VMM进行交互。


攻击者通过利用这些漏洞,可以获取VMM的敏感数据,或者获取同一物理主机下的其他VM内的数据


对操作系统内核和其他用户数据的攻击(A2)

攻击者是用户空间的一个应用程序,拥有任意的代码执行能力。攻击者通过利用这些漏洞,可以获取内核内的敏感数据,包括内核缓冲区的文件或者网络数据,以及同一操作系统下的其他进程的数据


浏览器对操作系统内核的攻击(A2w)

攻击者只能通过网站页面影响浏览器发起攻击,可以通过javascript,或者web assembly等机制。


POC验证测试


我们针对各个厂商发布的内核更新补丁进行了前后对比POC验证测试,以及实体机与虚拟机之间对比POC验证测试。


1、实体机Centos7 内核更新前后对比


经过对比,变种1 (V1) Spectre: 绕过边界检查 (CVE-2017-5753)并未得到修复。


2、虚拟机Centos7 内核更新前后对比


对比结果表明,不存在虚拟机影响POC验证效果。Centos7内核版本3.10.0-693.11.6只修复了CVE-2017-5754、CVE-2017-5715,并没有修复CVE-2017-5753


3、Debian内核更新前后对比


如官方所述,只修复了CVE-2017-5754。


这是Debian官网的漏洞修复记录




通过上面对两家Linux厂商的内核更新对比,可以发现针对Spectre修复存在较大的难度,漏洞曝光已经将近一周,但各大厂商针对变种1却迟迟修复不了,并且在内核更新完毕之后仍存在轻微卡顿现象。


4、Windows平台漏洞补丁修复情况


防护建议


针对上面的攻击场景,我们对现有的防护手段进行了一些总结。其中在云平台上面,升级CPU微码需要VMM的协助,用户在自己的VM里面无法完成,除非VMM特别开放了这个功能。


任何防护措施都不是无成本的,防护方可以根据自己的场景来选择必要的防护措施。


1、公有云VMM的运营者

公有云VMM的运营者应该保障VMM不受恶意攻击,即A1层面的防护是必须要做到的,特别是V2攻击。使用Xen的厂商也要关注V3攻击的防御。


2、云上租户

租户可以根据自己的需求进行防护。如果云上租户在同一个VM内部没有数据敏感级别区隔,而且对性能要求较高,那么可以继续使用原始内核。(主要是目前更新补丁后可能会造成CPU性能明显下降,如果不能接受该方案则只能加强自身的防护:①升级云主机上的浏览器到最新版本,②不要使用云主机上的浏览器访问不明站点。)


如果云上租户在同一个VM内部有多级数据敏感区隔,而且可执行代码不固定,并能接受额外的性能损耗,那么推荐使用打了安全补丁的内核。


3、普通PC用户

对普通PC用户而言,最大的威胁来自于浏览器访问恶意网址以及感染上恶意代码。这些防护与传统PC安全没有太大的区别,及时升级即可。


往期精彩文章:

持续跟踪:Meltdown和Spectre漏洞分析

史上最大漏洞出现:你的安卓、iPhone、电脑都不安全了!

高危漏洞预警46期:Intel KPTI旁路分析利用漏洞

我们第四次入选《中国网络安全企业》50强 增长率前十

五十家安全厂商联合跨年:2018,我们来啦!

知乎提问:SQL注入怎么防?

2018年的云安全产品和服务是什么样的?

如何用一句话证明你是搞网络安全的?

世界末日还远吗?黑客犯罪分子索要核原料

互联网大会重磅发布蓝皮书:网络安全是发展的重要指标

IPv6要来了!中国告别“无根”时代

“红蓝黄”虐童事件:谁动了监控视频?

工信部:泄露1亿人的信息就算特大网络安全事件

白帽子可能需要的端口大集合!

今天,全国高校的安全专家都在这儿了

安全狗荣获金砖峰会“安保突出贡献单位“称号

云栖大会|当安全遇上云,安全狗引领网络安全新风尚

安全狗金砖峰会态势感知系统亮相中国国际信息技术博览会

这两天在ISC的最大收获 就是大家对我们的热情

安全狗交卷!我们是金砖会晤最核心的网络安保力量!

《网络安全法》应该遵循的规则之:互联网金融篇

从《网络安全法》首个判罚案例中,我们能学到什么?

安全狗入选《中国网络安全企业50强》 创新力获市场认可



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存