classic.ISPforum.cz

Byly zveřejněny informace o nové třídě zranitelností, které ohrožují většinu procesorů firmy Intel vydaných po roce 2011. Fallout, RIDL a ZombieLoad opět zneužívají spekulativního vykonávání.

Nová skupina útoků se souhrnně nazývá MDS (Microarchitectural Data Sampling) a ve skutečnosti zneužívá čtyř různých chyb. Jejich společných znakem je, že dovolují vyčítat data z interních pamětí procesorů sloužících k ukládání instrukcí během spekulativního vykonávání. Jde například o Line Fill Buffers, Load Ports nebo Store Buffers. Tyto zásobníky jsou využívány ke čtení a zápisu dat z a do RAM.

Chyby je možné zneužít na fyzických počítačích, ale i ve virtualizovaném prostředí. Neprivilegovaný kód dokáže pomocí těchto postranních kanálů přečíst data jiných procesů, jádra operačního systému, interních stavů procesoru, ale i z Software Guard eXtensions (SGX). To by měly být oddělené a přísně střežené části paměti, do kterých je možné ukrýt citlivý obsah.

Bylo prokázáno, že útoky je možné v praxi uskutečnit a stačí k tomu i spuštění javascriptového kódu v prohlížeči. Útočník se takto může dostat ke kryptograficky citlivému materiálu, jakým jsou šifrovací klíče nebo hesla.

Server Phoronix včera provedl benchmark záplaty proti nové zranitelnosti MDS/ZombieLoad procesorů Intel. Podle testů Intelu má být dopad na výkon se zapnutým HT do 3 % a s vypnutým HT do 9 %. Největší dopad byl naměřen v Java zátěži na serveru bez HT a to 19 %.

Proti tomu testy Phoronixu se zapnutým HT ukazují dopad až 41% při přepínání kontextu (ctx_clock), 27 % při zátěži síťových socketů (Stress-NG) a asi 5 % při kompilaci LLVM. Pokud navíc vypnete HT, aby byla ochrana proti MDS účinější, bude výkonnostní dopad ještě větší. Vypnout záplatu MDS můžete přepínačem jádra mds=off.

Na dlouhý seznam zranitelností procesorů Intel přibyla další položka. CacheOut alias L1 Data Eviction Sampling (L1DES) alias CVE-2020–0549 je opět technikou využívající zranitelnosti v systému spekulativního vykonávání, který procesory Intel používají mnoho posledních generací, a to výrobně až do října 2018. Útočníkovi tato chyba umožňuje získat citlivá data z kernelu OS, sousedících virtuálních strojů či dokonce z enklávy Intel SGX (Software Guard Extensions), jíž některé procesory Intel disponují.

the.max píše:Nechci se jakkoli Intelu zastávat, chraň Bůh (ačkoli jsem ateista až do morku kosí), ale řešil už někdo praktický dopad těchto prů*erů v kombinaci s RoSem jako router? Zatím co si vybavuju všechny problémy se týkali zneužití v případě, že byl na procesoru (v rámci OS na stanici, či serveru) spuštěn nějaký kód, který chybu zneužil. A pokud je RoS dostatečně bezpečný, tak by k průniku a následnému zneužití dojít nemělo. Spíš bych se obával staré verze kernelu, kerou RoS používá.

Ale fakt se nechci Intelu zastávat, raději mám konkurenční procesory.

the.max píše:Nechci se jakkoli Intelu zastávat, chraň Bůh (ačkoli jsem ateista až do morku kosí), ale řešil už někdo praktický dopad těchto prů*erů v kombinaci s RoSem jako router? Zatím co si vybavuju všechny problémy se týkali zneužití v případě, že byl na procesoru (v rámci OS na stanici, či serveru) spuštěn nějaký kód, který chybu zneužil. A pokud je RoS dostatečně bezpečný, tak by k průniku a následnému zneužití dojít nemělo. Spíš bych se obával staré verze kernelu, kerou RoS používá.

Ale fakt se nechci Intelu zastávat, raději mám konkurenční procesory.

the.max píše:Svůj dotaz jsem směřoval spíše tak, jak tyto zranitelnosti mohou ohrozit router s RoSem, ke kterému je přístup skrz SSH, případně Winbox, ale ať skrz SSH, nebo skrz Winbox tam nejsem za normálních okolností schopen spustit nějaký cizí kód, snad krom skriptování...

hapi píše:Pokud máš dell, hp atd.. servery tak biosy vypouštěji každou chvíli a to i pro svoje firemní notebooky/desktopy. I 6 let starej notebook co sem teď dostal na opravu tak má možnost updatovat bios co je pouze 2 měsíce starej.

the.max píše:Jop, to se ví, že aplikace všech záplat na Intel procesory u Linuxového kernelu, bere 30-40% výkonu, což je fakt dost. A po vypnutí HT v Biosu to je ještě horši. Při těchto počtech mi přide výhodnější jít do AMD.