Re: Zranitelnost x86 procesorů (Intel)
Napsal: 09 Mar 2019 16:48
A nebo to vubec neresit.
Fórum československých telekomunikací
https://classic.ispforum.cz/
Byly zveřejněny informace o nové třídě zranitelností, které ohrožují většinu procesorů firmy Intel vydaných po roce 2011. Fallout, RIDL a ZombieLoad opět zneužívají spekulativního vykonávání.
Nová skupina útoků se souhrnně nazývá MDS (Microarchitectural Data Sampling) a ve skutečnosti zneužívá čtyř různých chyb. Jejich společných znakem je, že dovolují vyčítat data z interních pamětí procesorů sloužících k ukládání instrukcí během spekulativního vykonávání. Jde například o Line Fill Buffers, Load Ports nebo Store Buffers. Tyto zásobníky jsou využívány ke čtení a zápisu dat z a do RAM.
Chyby je možné zneužít na fyzických počítačích, ale i ve virtualizovaném prostředí. Neprivilegovaný kód dokáže pomocí těchto postranních kanálů přečíst data jiných procesů, jádra operačního systému, interních stavů procesoru, ale i z Software Guard eXtensions (SGX). To by měly být oddělené a přísně střežené části paměti, do kterých je možné ukrýt citlivý obsah.
Bylo prokázáno, že útoky je možné v praxi uskutečnit a stačí k tomu i spuštění javascriptového kódu v prohlížeči. Útočník se takto může dostat ke kryptograficky citlivému materiálu, jakým jsou šifrovací klíče nebo hesla.
Server Phoronix včera provedl benchmark záplaty proti nové zranitelnosti MDS/ZombieLoad procesorů Intel. Podle testů Intelu má být dopad na výkon se zapnutým HT do 3 % a s vypnutým HT do 9 %. Největší dopad byl naměřen v Java zátěži na serveru bez HT a to 19 %.
Proti tomu testy Phoronixu se zapnutým HT ukazují dopad až 41% při přepínání kontextu (ctx_clock), 27 % při zátěži síťových socketů (Stress-NG) a asi 5 % při kompilaci LLVM. Pokud navíc vypnete HT, aby byla ochrana proti MDS účinější, bude výkonnostní dopad ještě větší. Vypnout záplatu MDS můžete přepínačem jádra mds=off.
Na dlouhý seznam zranitelností procesorů Intel přibyla další položka. CacheOut alias L1 Data Eviction Sampling (L1DES) alias CVE-2020–0549 je opět technikou využívající zranitelnosti v systému spekulativního vykonávání, který procesory Intel používají mnoho posledních generací, a to výrobně až do října 2018. Útočníkovi tato chyba umožňuje získat citlivá data z kernelu OS, sousedících virtuálních strojů či dokonce z enklávy Intel SGX (Software Guard Extensions), jíž některé procesory Intel disponují.
the.max píše:Nechci se jakkoli Intelu zastávat, chraň Bůh (ačkoli jsem ateista až do morku kosí), ale řešil už někdo praktický dopad těchto prů*erů v kombinaci s RoSem jako router? Zatím co si vybavuju všechny problémy se týkali zneužití v případě, že byl na procesoru (v rámci OS na stanici, či serveru) spuštěn nějaký kód, který chybu zneužil. A pokud je RoS dostatečně bezpečný, tak by k průniku a následnému zneužití dojít nemělo. Spíš bych se obával staré verze kernelu, kerou RoS používá.
Ale fakt se nechci Intelu zastávat, raději mám konkurenční procesory.
the.max píše:Nechci se jakkoli Intelu zastávat, chraň Bůh (ačkoli jsem ateista až do morku kosí), ale řešil už někdo praktický dopad těchto prů*erů v kombinaci s RoSem jako router? Zatím co si vybavuju všechny problémy se týkali zneužití v případě, že byl na procesoru (v rámci OS na stanici, či serveru) spuštěn nějaký kód, který chybu zneužil. A pokud je RoS dostatečně bezpečný, tak by k průniku a následnému zneužití dojít nemělo. Spíš bych se obával staré verze kernelu, kerou RoS používá.
Ale fakt se nechci Intelu zastávat, raději mám konkurenční procesory.
the.max píše:Svůj dotaz jsem směřoval spíše tak, jak tyto zranitelnosti mohou ohrozit router s RoSem, ke kterému je přístup skrz SSH, případně Winbox, ale ať skrz SSH, nebo skrz Winbox tam nejsem za normálních okolností schopen spustit nějaký cizí kód, snad krom skriptování...
Updatovat mikrokód na CPU je možné i bez aktualizace BIOSu. Dostupné jsou tyto aktualizace jak pro Intel, tak i pro AMD.hapi píše:Pokud máš dell, hp atd.. servery tak biosy vypouštěji každou chvíli a to i pro svoje firemní notebooky/desktopy. I 6 let starej notebook co sem teď dostal na opravu tak má možnost updatovat bios co je pouze 2 měsíce starej.
AMD na tom o moc líp není. Jen se to tolik nerozmazává. Ale náchylné jsou na stejný vektor útoku podobně.the.max píše:Jop, to se ví, že aplikace všech záplat na Intel procesory u Linuxového kernelu, bere 30-40% výkonu, což je fakt dost. A po vypnutí HT v Biosu to je ještě horši. Při těchto počtech mi přide výhodnější jít do AMD.