Veszélyben a géped: így védekezz a ZombieLoad támadás ellen

|

Ismét komoly sebezhetőséget találtak a legtöbb Intel processzorban, így könnyen lehet, hogy a te géped is érintett. Megmutatjuk, mekkora a veszély, és hogyan védekezhetsz.

Hirdetés

Csupán a kezdet volt az Intel számára a 2018-as Spectre és Meltdown processzorkatasztrófa, 2019 májusában a kutatók újabb négy sebezhetőséget találtak, amelyek minden felhasználót érintenek. A hardveres hibát kihasználó biztonsági rés az egyik legveszélyesebb mind közül, védekezni ugyanis nagyon nehéz ellene, a támadás pedig sok esetben teljesen észrevétlen marad a felhasználó számára. Az ilyen típusú biztonsági rések hardveres tervezési, kivitelezési hibákra vezethetők vissza, amelyeknek csak nagyon kis százaléka javítható utólag negatív szoftveres következmények nélkül.

Hirdetés

A ZombieLoad és a vele együtt most felfedezett többi sérülékenység szoftveresen teljesen ki sem küszöbölhető. Pedig ez minden felhasználó számára fontos, hiszen az ezekre épülő támadásokkal szinte bármilyen információ ellopható mobilról, laptopról, asztali PC-ről, sőt védett, virtualizált környezetben futó szerverről is. Cikkünkben bemutatjuk az új sérülékenységeket, azok működését, valamint segítünk felderíteni, hogy a te géped vajon érintett-e. Végül tippeket adunk a sebezhetőség befoltozására vagy legalábbis a sikeres támadások számának minimalizálására.

Tornyosuló gondok

A Spectre és a Meltdown két olyan hardveres sérülékenység, amelyek másfél éve bombaként robbantak. Ezek a hibák többféle központi egységet is érintettek, beleértve az Intel és AMD processzorokat, de még az ARM-alapú mobil SoC-ket is. Akkor minden gyártó azonnal belefogott a javítások elkészítésébe, és sikerült is viszonylag rövid időn belül komplex hardveres és szoftveres védelmet kiépíteni. Már akkor is az Intelt érintette legérzékenyebben ez a felfedezés, az Intel Core processzorokkal szerelt rendszerek le is lassultak pár százalékkal a javítások miatt.

A most felfedezett hibák hasonlítanak a Meltdown és Spectre elődökhöz, de még azoknál is veszélyesebbek, ugyanakkor kizárólag Intel rendszerekben jelentkeznek. A támadók bármilyen személyes adatot képesek általuk megszerezni, beleértve a legszigorúbban titkosított információkat is, ráadásul az adatlopást sem a biztonsági szoftver, sem pedig a felhasználó nem veszi észre.

Hirdetés

Az újabb hibákról először 2018 nyarán, éppen egy évvel ezelőtt szerzett tudomást az Intel, ráadásul ezeket egymástól függetlenül több egyetemi kutatócsoport és biztonsági cég megtalálta. Az Intel akkor titoktartást kért, így volt ideje kidolgozni a megfelelő védelmet. Legalábbis egy év elég hosszú idő, de sajnos a valóságban az operációs rendszerek foltozását leszámítva kevés PC- és alaplapgyártó készült el időre a megfelelő BIOS-frissítésekkel.

Így működik a ZombieLoad

Hirdetés

A legbeszédesebb nevet a fő sérülékenység, a ZombieLoad kapta, amely magyarra zombiterhelésként fordítható. Ehhez kapcsolódik még másik három hiba, amelyek a Fallout, a RIDL-MLPDS, illetve a RIDL-MDSUM neveket viselik (utóbbi kettőt egyben kezelik RIDL-ként).

A minden, 2011 után kiadott Intel processzorban megtalálható sérülékenység a spekulatív végrehajtásmodulban található, gyűjtőnevükön pedig MDS támadásoknak (Microarchitectural Data Sampling - mikroarchitekturális adatpróba) hívják. Ez felel azért, hogy megtippelve az aktuális programkód folytatását, előre végrehajtson megadott műveleteket a programból, hogy amikor azokra ténylegesen szükség lesz, máris készen álljanak. A támadó úgynevezett side-channel támadást indíthat ezt a modult megcélozva, majd a zombiterhelés extrém sok adattal terheli le az Intel CPU-t. Ennek hatására a vezérlő mikrokód hibázik, és a megfelelően megírt kártékony kód betekintést kap az eredetileg hermetikusan lezárt CPU-pufferekbe. Ezekben más programok tárolhatnak jelszavakat, webcímeket, kulcsokat, hitelesítési adatokat stb. Mindez a vírusvédelmi szoftverek számára csak nagyon nehezen felismerhető még viselkedésalapon is, mert az MDS-támadás könnyedén álcázható normál programkódnak, ráadásul szoftvert nem is, csak hardvert támad.

Hirdetés

A támadás úgy tud észrevétlen maradni, hogy csupán olvassa ezeket a regisztereket és puffereket, adatot nem változtat meg. Aggasztó, hogy ebben az esetben teljesen mindegy, hogy az adott kód milyen jogosultsági szinten fut, a támadó minden adathoz hozzáfér, és azokat képes az általa megadott helyre ki is menteni.

A ZombieLoaddal fertőzött gépet ugyanúgy, bármiféle észrevehető lassulás nélkül tudod tovább használni, a fertőzés még csak lefagyást sem okoz. Miközben te dolgozol, böngészel, vagy játszol gépeden, a támadó nem csinál egyebet, mint hátradől, és figyeli (általában kimenti egy naplófájlba) a pufferekből megszerzett adatokat. Ezek jelentős része egészen biztosan felesleges, értelmezhetetlen információ lesz, egészen addig, amíg nem gépeled be valahova a jelszavadat, nem írsz le fontos magáninformációkat, vagy például egy app nem küld hitelesítő tokent egy másik szolgáltatónak. Ezeket megfelelő programokkal pillanatok alatt kimentheti a támadó, és máris felhasználhatja. A ZombieLoad mellett bejelentett többi sérülékenység felépítése, működése is hasonló, ám más és más puffereket támadnak, illetve akár írni is képesek a memóriába. A Fallout például a biztonságosnak tartott, véletlenszerű címről történő rendszerindítást képes megkerülni és feltörni (KASLR - Kernel Address Space Layout Randomization).

Mindenki áldozat

Az új támadási lehetőségek működéséből látszik, hogy nagyon nehéz feladat megfelelő támadókódot írni, majd a megszerzett adatot feldolgozni és felhasználni. A sikeres adatlopáshoz, támadáshoz szükséges program elkészítése hatalmas energiát és briliáns programozói munkát igényel, ezért nehezen elképzelhető, hogy egy általános, több millió vagy százmillió eszközt fenyegető, világszintű támadásnak ez lesz az alapja. Ez valamelyest megnyugtató, vagyis azonnali, mindenkire kiterjedő ZombieLoad- vagy Fallout-támadástól nem kell tartanunk.

A ZombieLoad, a RIDL és a Fallout viszont tökéletes alapja az úgynevezett High Profile Attacknek, vagyis amikor a hackerek célzottan egy bizonyos személyt vagy egy bizonyos eszközt akarnak megtámadni, és azokból információt kiszedni. Ilyen támadások célpontja általában befolyásos ember, esetleg hivatali céges gép vagy különlegesen védett szerver - semmiképp sem egy jelentéktelen, otthoni kliens-PC. Akik a legutóbbi gépvásárláskor vagy gépfejlesztéskor AMD platformra szavaztak, most fellélegezhetnek, mert az AMD processzorokat nem érintik a legutóbb felfedezett sebezhetőségek.

Hirdetés

Ugyanakkor tény, hogy senki sincs biztonságban, mégpedig azért, mert ezekkel a trükkökkel a legbiztonságosabb(nak hitt) szerverről is sikeresen lehet védett adatot kinyerni. Például ha a támadó bejut egy nagyobb szerverre, ahol több, egymástól elszeparált virtuális gép fut, átugrálhat más, párhuzamosan futó virtuális környezetekbe, amelyekből szinte bármilyen adatot megszerezhet.

Hirdetés

A mobilos felhasználók sincsenek teljes biztonságban, elég, ha a még mindig sokak által használt, Intel Atom-alapú tabletekre, okoseszközökre, hibrid gépekre gondolunk. Ezek mind sebezhetők ZombieLoad-, RIDL- vagy Fallout-támadással. Miután hardveres hibáról van szó, az operációs rendszer fajtája semmit sem számít: a hiba vonatkozik minden Macre, windowsos PC-re, linuxos gépre és Chromebookra. Egyetlen kitétel, hogy 2011-ben vagy az után gyártott Intel processzor legyen a gépben. A Meltdown sérülékenység ellen az Intel legújabb, 9. generációs modelljeiben már hardveres védelem van, amelyről - jogosan - azt gondolhatnád, hogy más, hasonló támadások ellen is hatékony. Sajnos ez nem így van, sőt ezek az új processzorok még könnyebben feltörhetőek az új sérülékenységeket kihasználva.

A védekezés lépéseihez lapozz a cikk következő oldalára, nyomd meg itt alul a 2. gombot!

Oldalak: 1 2

Hirdetés

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://pcworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.