Information Security Club | Клуб Информационной Безопасности — Stay Safe!
Добро пожаловать в Клуб Информационной Безопасности! Если Вы здесь впервые, то зарегистрируйтесь и прочитайте правила клуба. Если Вы забыли пароль, то перейдите по ссылке, после чего Вы сможете восстановить его через электронную почту. Помните, что некоторые возможности и разделы форума для гостей недоступны, рекомендуется пройти авторизацию.

Welcome to Information Security Club! You can change the website language to English here. If you are here for the first time, please, register and read forum rules. If you forgot your password follow this link to restore it by email. Remember, some facilities and forum nodes for guests are not available, it's highly recommended to pass authorization.

Очередная уязвимость в процессорах Intel

HADD-NEELS

Избранный
Почетный участник
Joined
10.12.2016
Messages
5,605
Reaction score
11,570
Points
749
Очередная уязвимость в процессорах Intel сделала SSH-соединения небезопасными

11.09.2019
Исследователи из группы системной и сетевой безопасности Амстердамского свободного университета (VUSec) рассказали сегодня о новой разновидности атак, от которой оказались не защищены серверные процессоры Intel. Уязвимость получила название NetCAT (сокращение от Network Cache Attack), и ей подвержены все процессоры Intel с поддержкой механизмов DDIO (Data-Direct I/O Technology) и RDMA (Remote Direct Memory Access).

Исследователи показали, что компьютер с процессором Intel, у которого включены обе эти функции, может быть атакован через сеть, в результате чего злоумышленник может получить доступ к определённым данным, находящимся в кеш-памяти процессора. Для полноценной эксплуатации уязвимости атакующая сторона должна следить за тем, какое время тратит процессор на обработку тех или иных данных из своего кеша, и в ряде случаев это позволяет восстановить сами эти данные.

Специалисты по безопасности рассказывают обывателям о защищённости современных систем

Специалисты по безопасности рассказывают обывателям о защищённости современных систем​

Обычно подобные виды уязвимостей относятся к так называемым атакам по побочному каналу, которые предполагают физический доступ злоумышленника к атакуемому компьютеру и установку на него вредоносного программного обеспечения. Однако в случае с NetCAT всё гораздо серьёзнее. Исследователи показали, что эту разновидность атаки по побочному каналу можно проводить удалённо — через сетевую среду.

Корни уязвимости NetCAT (CVE-2019-11184) уходят в технологию Intel DDIO, которую микропроцессорный гигант реализовывал несколько лет тому назад в процессорах серверного назначения. Изначально технология была нацелена на увеличение производительности, однако теперь оказалось, что попытка срезать углы чревата серьёзными проблемами. DDIO позволяет периферии, в первую очередь, сетевым контроллерам, получать прямой доступ к кеш-памяти процессора, минуя оперативную память, как это работает обычно.

По изначальному замыслу это должно было ускорить обработку сетевых пакетов в дата-центрах и облачных платформах, поскольку в них обрабатывается огромное число сетевых запросов одновременно, и оперативная память нередко становится узким местом. Поэтому функция DDIO была активирована во всех процессорах Intel серверного класса, начиная с 2012 года, включая семейства Xeon E5, E7 и SP.

Исследователи провели демонстрацию эксплуатации уязвимости NetCAT и показали, что отсылка специально подготовленных сетевых пакетов на компьютер с процессором Intel, поддерживающим DDIO, позволяет узнать, какие данные обрабатываются в системе параллельно. Злоумышленник не получает доступ к любым данным, а только к той их части, которая приходит в других сетевых пакетах в момент атаки и попадает в разделяемую область процессорного кеша, отведённого на обработку DDIO. Однако даже этого оказывается достаточно для кражи критически важной информации.

Например, в процессе демонстрации исследователи получили возможность проанализировать и считать нажатия клавиш в параллельно запущенной на атакованной системе зашифрованной SSH-сессии.

Атака NetCAT может работать лишь благодаря технологии DDIO, однако включение технологии RDMA, которая позволяет открыть удалённый доступ в память компьютера, минуя буферы операционной системы, делает её ещё более результативной.

Компания Intel была предупреждена о NetCAT в июне, и сегодня она выпустила рекомендации по смягчению последствий таких атак ( ). Опасность уязвимости характеризуется Intel как низкая. Компания считает, что эксплуатация такой уязвимости сопряжена со сложностями, поскольку для её успеха требуется статистический анализ действий пользователя и особый уровень доступа к системам со включёнными технологиями DDIO и RDMA. В тех же средах, где обычно используются эти технологии, как считает Intel, вычислительные кластеры не имеют доступа из ненадёжных сетей.


Тем не менее, в критических случаях Intel советует переходить на использование программных модулей, не допускающих статистический анализ времени обработки данных. Исследователи же считают, что Intel относится к опасности NetCAT слишком поверхностно и рекомендуют отключить хотя бы RDMA, что существенно снижает эффективность атаки.

Источник:
 

Top Bottom