Az Intel processzorokat érintő legújabb sebezhetőségekről nemrégiben számoltunk be. Azóta történt egy s más a témában, így aktuálisnak láttuk, hogy összefoglaljuk, milyen tájékoztatásokat adtak ki az egyes vállalatok a helyzettel kapcsolatban. A sebezhetőségek a Microarchitetural Data Sampling (MDS) gyűjtőnév alatt futnak, ám egyes kutatók más neveket is aggattak rájuk, így Fallout, RIDL, és ZombieLoad névvel egyaránt emlegetik egyik-másik variánst. Az MDS gyűjtőnév összesen négy sebezhetőséget fog össze, ahogy korábban már megírtuk – az egyszerűség kedvéért innentől többnyire erre az elnevezésre hivatkozunk.
Ezeken a sebezhetőségeken keresztül a processzor puffereiben tárolt adatokhoz férhetnek hozzá a támadók, ehhez pedig rendszergazdai jogosultságra sincs szükség, sőt, még a védett módban futó alkalmazások adatai is kiszivároghatnak, igaz, annak az esélye, hogy tényleg kényes adatokat sikerüljön kinyerni az adatfolyamból, eléggé csekély, így a sebezhetőség besorolása közepes. A három sebezhetőség közül a ZombieLoad (CVE-2018-12130) az, ami igazán komoly veszélyt jelenthet, ez ugyanis az Intel Hyper-Threading technológiáját is felhasználhatja az adatlopáshoz, így csak a Hyper Threading teljes letiltásával lehet megnyugtatóan védekezni ellene, legalábbis egyes kutatók így látják, és ez az Apple véleménye is.
A Hyper-Threading esetében egy fizikai processzormag egyes, esetenként megduplázott erőforrásait két programszál is használhatja egymás mellett, így a támadó az egyik programszálon keresztül a másik programszál adatait is kiolvashatja a közös gyorsítótárakból, ami mindenképpen aggasztó, különösen a felhő alapú rendszereknél jelenthet komoly problémát, ha sikerül kiaknázni a benne rejlő lehetőségeket. A sérülékenységeket a helyi rendszeren futó kártékony kóddal éppúgy ki lehet aknázni, mint speciális, internet felől érkező támadásokkal.
Az Intel szerint ennek a Spectre sebezhetőséghez hasonlóan most is kicsi az esélye, vagyis a kinyert adatokban rendszerint nagyon kis eséllyel lesznek ténylegesen kényes és használható tartalmak, de így is mindenképpen gondoskodni kell a javítások telepítéséről, hogy a veszély csökkenthető legyen. A javítások mikrokód-alapú frissítések formájában érkeznek, amelyeket BIOS frissítésként lehet telepíteni, de maguk az operációs rendszerek, illetve a különböző alkalmazások is kapnak frissítéseket, így ezekre is érdemes odafigyelni.
A sebezhetőségekkel kapcsolatban részletes technikai ismertető itt olvasható.
Intel: érkeznek a frissítések, vannak már mérések is
Az Intel már több mikrokód-alapú frissítés is kiadott, amelyek segítenek a biztonsági rések elleni védelemben, sőt, már azt is kimérték belsős tesztek keretén belül, hogy az egyes munkafolyamatokra milyen hatást gyakorolnak a javítások, azaz mennyivel csökkentik a teljesítményt. A mérések sajnos csak a Core i9-9900K modellre támaszkodnak, de legalább azt is megmutatják, letiltott Hyper-Threading mellett milyen teljesítményre lehet számítani
A kliensoldali terheléseknél a mikrokód-frissítés hatására nagyjából 2-3%-os teljesítménycsökkenés mutatkozik feladattípustól függően, míg a Hyper-Threading támogatás letiltása 1-9% közötti lassulást hoz. Nyilván a több szálon futó terhelésformáknál ennél nagyobb visszaesés is mutatkozhat, ám erről nem ad képet a belsős mérés
A szerveroldali terhelésformáknál 1% körüli lassulás látszik általánosságban, de az adattárolással kapcsolatos feladatköröknél 4-5%-os esés látszik. A Hyper-Threading letiltásakor már nagyobb a visszaesés, ugyanis feladattípustól és konfigurációtól függően 11-19%-os lassulásra is lehet példa – és ennél akár nagyobb lassulás is összejöhet bizonyos esetekben.
A hiba nem érinti a 8. és 9. generációs Core sorozatú processzorok többségét, valamint a második generációs Xeon Scalable modelleket sem, ezek ugyanis hardveres védelemmel rendelkeznek, ami a frissen felfedezett sérülékenységek ellen is véd. Az érintett processzoroknál opcionálisan letiltható a Hyper-Threading, ami a mikrokód-frissítések megérkezéséig részleges védelmet nyújthat a sebezhetőségek ellen, ám ezt minden esetben a felhasználó döntésére bízzák.
Apple: le kell tiltani a Hyper-Threading támogatást, ami nagy teljesítményvesztést okoz majd
A vállalat a macOS Mojave 10.14.5-ös kiadással, valamint a Sierra és High Sierra operációs rendszerekhez kiadott Security Update 2019-003-as frissítőcsomaggal gondoskodik a rendszerek védelméről. A Mojave 10.14.5 egyebek mellett Safari frissítést is kapott, így a sebezhetőségek kiaknázására weboldalakon keresztül sincs már mód. Egyébként az Apple szerint a teljes védelmet csak úgy lehet elérni, ha letiltják az Intel processzorok Hyper-Threading támogatását, ami a belsős mérések szerint akár 40%-os lassulást is okozhat. Az Intel szerint erre nincs szükség, az Apple szakemberei azonban másképp látják a helyzetet. Érdekesség egyébként, hogy a Hyper-Threading letiltásának lehetőségét saját dokumentumában is megemlítette az Intel.
Az Apple közleménye szerint az alábbi modellekhez nem érkeznek javítások, ugyanis az Intel nem adott ki hozzájuk mikrokód-alapú frissítést:
- MacBook (13-inch, Late 2009)
- MacBook (13-inch, Mid 2010)
- MacBook Air (13-inch, Late 2010)
- MacBook Air (11-inch, Late 2010)
- MacBook Pro (17-inch, Mid 2010)
- MacBook Pro (15-inch, Mid 2010)
- MacBook Pro (13-inch, Mid 2010)
- iMac (21.5-inch, Late 2009)
- iMac (27-inch, Late 2009)
- iMac (21.5-inch, Mid 2010)
- iMac (27-inch, Mid 2010)
- Mac mini (Mid 2010)
- Mac Pro (Late 2010)
AMD
Az AMD aza Intel MDS bejelentése után nem sokkal hivatalos tájékoztatást adott ki weboldalán, amelynek keretén belül elmondják, az eddigi vizsgálatok alapján ezeket a támadásformákat nem tudták sikeresen alkalmazni saját termékeik belsős tesztelésekor, valamint olyan külsős szakemberről sem tudnak, akinek sikerült volna efféle biztonsági rést találnia. Egyszóval az AMD processzorai védettek az Intel MDS sebezhetőségekkel szemben.
AWS
Az Amazon Web Services szakemberei szintén hivatalos közleményt adtak ki, amelyben arról tájékoztatták a publikumot és ügyfeleiket, hogy már alkalmazták az MDS elleni frissítéseket, így felhasználói részről semmiféle teendőre nincs szükség. A vállalat ezzel együtt frissített kerneleket és mikrokód csomagokat is kiadott az Amazon LINUX AMI 2018.3-as, valamint az Amazon Linux 2-es verziójához.
Citrix
A Citrix beszámolója szerint már frissítették a szükséges rendszereket, beleértve a Citrix hypervisort is, így ezek már védettek a sebezhetőségekkel szemben. A vállalat kiadott egy gyorsjavítást a XenServer 7.1-es kiadásához is, amelyben hypervisor- és CPU mikrokód-frissítés egyaránt található, később pedig a többi érintett termékhez is kiadnak hasonló gyorsjavításokat, így érdemes gyakran ellenőrizni, mely szoftverekhez áll rendelkezésre ilyen frissítés
IBM
Az IBM szerint saját Power processzor-architektúrájuk nem érintett az MDS sebezhetőségek kapcsán, az érintett szerverekhez pedig már megkezdték az Intel által kiadott mikrokód-frissítések terjesztését.
A Google egy külön weboldalon keresztül adott kitájékoztatást azzal kapcsolatban, hogy a különböző termékek esetében milyen lépések megtételére van szükség. A vállalat saját infrastruktúrája, G-Suite csomagja, illetve a Google Cloud Platform is megkapta már a szükséges frissítéseket a többi szolgáltatással együtt, ám néhány felhő felhasználónak egyéb lépésekre is szükségük lehet a tájékoztató alapján.
Ahogy korábban már említettük, a Chrome OS 74-es kiadásától kezdve letiltásra kerül a Hyper-Threading támogatás az Intel processzorok esetében, a 75-ös kiadás pedig további frissítéseket is tartalmaz majd, amelyek segítenek a sebezhetőségekkel szembeni harcban. A tájékoztatás szerint az Android alapú rendszerek döntő többségét nem érintik a sebezhetőségek.
Linux disztribúciók
A Linux kernel fejlesztők, a Red Hat, a Debian, az Ubuntu, valamint a Suse esetében egyaránt megkezdődött a szükséges frissítések terjesztése valamint a sebezhetőségekkel kapcsolatos tájékoztatók is rendelkezésre állnak már a beágyazott linkeken keresztül.
Microsoft
A vállalat már elkezdte a Windows frissítések terjesztését, valamint szerveroldali frissítéseket is bevetett saját felhő alapú szolgáltatásainál, hogy a sebezhetőségek ellen védelmet biztosíthasson. Ezzel együtt további szoftverfrissítésekre, illetve firmware frissítésre is szükség lesz a különböző rendszereknél annak érdekében, hogy a védelem teljes lehessen. A vállalat egy PowerShell szkriptet is készített, amellyel gyorsan és egyszerűen lehet ellenőrizni, hogy az adott rendszer védett-e a különböző, spekulatív végrehajtást támadó sebezhetőségekkel szemben. A cég részletes tájékoztatója itt olvasható.
Oracle
A vállalat blogposztja szerint az x86 alapú rendszerei védelméről saját adminisztrátorai gondoskodnak majd, míg az Oracle Engineered Systems ügyfeleknél részletes leírást adnak majd a szükséges teendőkkel kapcsolatban. Az Oracle SPARC szervereit, illetve a SPARC szervereken futó Solaris rendszereket nem érintik a sebezhetőségek, de az x86 alapú Solaris rendszereknél frissítésekre van szükség. A vállalat ezzel együtt a VM Server termékekhez, valamint az Oracle for Oracle Linux mellé is adott ki frissítéseket, amelyeket mielőbb érdemes telepíteni.
VMWare
Ennél a vállalatnál elég sok szoftvert érintenek a sebezhetőségek, így egyebek mellett a
- VMware vCenter Server (VC)
- VMware vSphere ESXi (ESXi)
- VMware Workstation Pro / Player (WS)
- VMware Fusion Pro / Fusion (Fusion)
- vCloud Usage Meter (UM)
- Identity Manager (vIDM)
- vCenter Server (vCSA)
- vSphere Data Protection (VDP)
- vSphere Integrated Containers (VIC)
- vRealize Automation (vRA)
szoftverekhez egyaránt frissítések kellenek. A szakemberek éppen ezért hypervisor-specifikus frissítésekkel, illetve hypervisor-on keresztüli vendég frissítésekkel egyaránt készültek az érintett termékekhez. A VMware esetében a sebezhetőségek kiaknázásához helyileg kell hozzáférni a támadni kívánt virtuális géphez, illetve kártékony kód is csak így futtatható.
