На конференции Black Hat USA исследователи антивирусной компании Bitdefender сообщили о новой уязвимости, которая затрагивает все компьютеры под управлением Windows на процессорах Intel, созданных с 2012 года, об этом сообщает cnews.ru. По данным исследователей, она также может затрагивать чипы AMD и ARM. Баг позволяет злоумышленнику получить доступ к защищенной системной памяти ядра.
Новая атака получила название SWAPGSAttack, так как она эксплуатирует SWAPGS — инструкцию для процессоров x86/x64, которая отдает системе команду обратиться к защищенной памяти, выделенной для ядра ОС. С помощью SWAPGSAttack злоумышленник может отслеживать и красть конфиденциальные данные с компьютера жертвы, не оставляя следов. Уязвимость была зарегистрирована под номером CVE-2019-1125.
Атака основывается на изучении уязвимостей Spectre и Meltdown, открытых в начале 2018 года. Проблема в том, что новая уязвимость дает возможность обойти защиту, выстроенную против Spectre и Meltdown. Напомним, сам Meltdown давал возможность пользовательскому приложению получить доступ к памяти ядра, а также к другим областям памяти устройства. Spectre же нарушал изоляцию памяти приложений, благодаря чему через эту уязвимость можно было получить доступ к данным чужого приложения.
Исследователи Bitdefender утверждают, что новая проблема затрагивает только процессоры Intel. Но Red Hat и Microsoft придерживаются мнения, что затронуты процессоры и других производителей. Microsoft рассматривает новую уязвимость как вариацию Spectre, который распространялся на процессоры Intel, AMD и ARM. Red Hat утверждает, что SWAPGSAttack затрагивает процессоры Intel и AMD. Уязвимость не опасна для компьютеров под управлением ОС на базе Linux.
Неизвестно, была ли SWAPGSAttack использована реальными злоумышленниками. Microsoft и Intel работали с Bitdefender около года, чтобы закрыть «дыру». В настоящий момент опасности подвергаются компьютеры и серверы, которые по каким-то причинам не получили вовремя обновление Windows, содержащее патч. Обновление было развернуто в июльский «патчевый вторник». Также перед атакой беззащитны системы типа Windows XP, которые больше не поддерживаются Microsoft.
SWAPGSAttack эксплуатирует недостатки механизма спекулятивного выполнения инструкций. Чтобы повысить скорость работы, процессоры прогнозируют выполнение каких инструкций потребуется от них в ближайшее время, и начинают их выполнять досрочно. Так работают все ПК под управлением Windows на чипах Intel с 2012 года.
Если прогноз подтверждается, процессор продолжает выполнять инструкцию. Если же оказывается, что в ее выполнении не было необходимости, все то, что процессор уже успел сделать, откатывается назад. Однако при этом в кэше оседают данные прерванного выполнения, прочитанные в памяти ядра. Эти данные можно найти, проведя атаку через сторонние каналы.
Для этого атакующему придется тщательно продумать запросы к системе и проанализировать, как она их выполняет. Например, злоумышленник может вводить разные цифры и буквы, которые предположительно могут содержаться в пароле, и наблюдать, насколько быстро система их загружает. Если быстро, значит они присутствуют в пароле.
По словам Богдана Ботезату (Bogdan Botezatu), директора по исследованию угроз в Bitdefender, перебрав весь алфавит, можно вычислить пароль жертвы. Эта же техника позволяет узнать ключи шифрования и другую информацию, которая осела в кэше. Если у злоумышленника достаточно времени, это могут быть большие объемы конфиденциальных данных, что особенно опасно при атаке на сервер, где аккумулируются данные всей организации. А поскольку SWAPGSAttack протекает незаметно для пользователя, времени у хакера будет достаточно.
Ботезату отмечает, что атака через сторонний канал — дело долгое и хлопотное. По его словам, те киберпреступники, которые хотят получить данные быстро, предпочтут фишинг или что-то в этом роде.
«Для злоумышленника, которого спонсирует государство, и который нацелился на видную организацию, эта штука просто золото. Потому что у них есть все время мира, чтобы строить догадки, и этот тип атаки не оставляет каких-либо криминальных следов на компьютерах», — поясняет исследователь.