Útoky na chyby Meltdown a Spectre už existují v reálném světě, našlo se jich přes 100

44

Před měsícem se provalily velké bezpečnostní zranitelnosti spočívající přímo v návrhu procesorů, chyby nazvané Meltdown a Spectre. Tyto díry se staly hlavním tématem začátku roku a podle reakce výrobců hardwaru (a softwaru) jsou vnímány docela vážně. Zdá se, že už k tomu bohužel máme i praktický doklad – kyberzločinci je již začali šířit v reálném světě, „mimo laboratoř“.

Výskyt těchto exploitů „v poli“ potvrdila organizace AV-TEST, která testuje a porovnává antiviry. Podle této instituce bylo odhaleno 139 vzorků škodlivých programů zneužívajících nebo pokoušejících se zneužít Spectre či Meltdown. Jsou zřejmě založené na ukázkovém kódu, který zveřejnili pro demonstrování zranitelnosti přímo bezpečnostní výzkumníci, kteří chyby odhalili (tedy tzv. „proof of concept“, PoC). Množství známých vzorků rostlo od 7. ledna, kdy se začaly objevovat, až do konce měsíce. Již 21. ledna jich bylo přes sto, ovšem ne všechny musí být plně funkční.

Drtivá většina vzorků údajně má formu zkompilovaných binárek spustitelných na Windows, MacOS nebo Linuxu, jejichž zneužití by tedy vyžadovalo lokální spuštění tohoto programu nebo jeho vpravení do na první pohled legitimní aplikace. Ovšem AV-TEST uvádí, že už byla nalezena také implementace exploitu chyby Spectre v javascriptu, což je nebezpečnější. Javascript umožňuje napadání počítačů přímo z navštívených webových stránek či na nich servírovaných reklam. Pro připomenutí: chyby Meltdown a Spectre dovolují programu číst operační paměť, ke které nemá mít přístup. Rizikem zde je tedy únik/krádež citlivých informací nebo dat. Infikování nebo ovládnutí systému může nastat až sekundárně.

Počet odhaleného malwaru exploitujícího Meltdown nebo Spectre během ledna. Červeně celkový počet, modře nově objevené typy
Počet odhaleného malwaru exploitujícího Meltdown nebo Spectre během ledna. Červeně celkový počet, modře nově objevené typy (Zdroj: AV-TEST)

AV-TEST poskytl pro některé z těchto malwarů hashe SHA-256. Ty by měly dokládat, že se tento kód skutečně vyskytuje na internetu, jelikož podle VirusTotal byl kód s dotyčnými hashi skutečně nalezen některými antiviry. Bezpečnostní firma Fortinet nyní na blogu uvádí, že má celkem 11 signatur různých exploitů Meltdownu nebo Spectre.

Riskware/POC_Spectre
W64/Spectre.B!exploit
Riskware/SpectrePOC
Riskware/MeltdownPOC
W32/Meltdown.7345!tr
W32/Meltdown.3C56!tr
W32/Spectre.2157!tr
W32/Spectre.4337!tr
W32/Spectre.3D5A!tr
W32/Spectre.82CE!tr
W32/MeltdownPOC

Podle AV-TESTU je teď zneužívání těchto chyb pravděpodobně ve „zkušební fázi“ a útočníci zřejmě vymýšlí, jaké přesně informace by mohli z napadených počítačů či zařízení „těžit“. Podle šéfa AV-TESTU je značně pravděpodobné, že se v budoucnosti tyto exploity objeví v cílených nebo i masových útocích. Ačkoliv tedy asi riziko napadení Spectrem nebo Meltdownem nyní neexistuje na každém kroku, není nulové.

Doporučení plynoucí z těchto zpráv je takové, že bychom měli dbát, aby na počítačích, které používáme pro přístup na internet, byly nainstalovány pokud možno všechny dostupné bezpečností opravy těchto problémů. To znamená v prvé řadě opravy operačního systému proti chybě Meltdown na procesorech Intel, která má zřejmě nejnebezpečnější dopad a nejsnazší zneužití (ale naštěstí by ji opravy OS měly kompletně zavřít). Kromě toho je třeba mít aktualizovaný webový prohlížeč a ideálně také aktualizace mikrokódu procesoru (které obvykle dostanete skrze nový BIOS desky). Tyto aktualizace mikrokódu totiž umožňují operačním systémům aktivovat další protiopatření proti chybám Spectre navíc. Její první verze pro procesory Intel však byla chybová a vyvolává náhlé restarty, takže v jejím případě bude možná lepší ještě nějakou dobu počkat na opravenou verzi. Její vydání snad nebude trvat příliš dlouho.

Pro mnoho starších PC a desek bohužel asi výrobci nevydají nový BIOS, takže jejich odolnost proti Spectre bude stát hlavně na obranách začleněných do prohlížečů, případně na antivirech, pokud dokáží škodlivý javascript v načítané stránce odhalit podle signatury.

Ohodnoťte tento článek!

44 KOMENTÁŘE

      • AMD to vice méně fixlo jen musí fixnout revizi V2. Pak je tu mnoho výrobců co na to serou. Viz. HP, Lenovo atd… Na linuxu se to bude plnohodnotně fixovat v kernelu, když nebude na urovni biosu. AMD má také tu chybu, ale neni tak snadná jako u Intelu.

        • Ta oprava jen v kernelu (Linux, Windows asi to samé) není plnohodnotná, ne ve smyslu že by učinila tu ochranu přes ty opravy mikrokódu (oni to nejsou opravy, jen to exponuje určité nové funkce) zbytečnou. Obecně by měla bezpečnost být vyšší s těmi aktualizovanými mikrokódy a na ně navázanými softwarovými opatřeními.

          Retpoline Linuxu a tahle čistě softwarová opatření mají zabránit tomu, aby se aplikace dostala přes Spectre 2 (Branch Target Injection) do paměti jádra. Ale na Skylake a snad i Broadwellu to údajně není stoprocentně účinné řešení, tam jsou asi ty aktualizace mikrokódu důležitější než jinde. Jinak taky tyhle čistě softwarové opravy chrání jenom kernel, ne další aplikace v uživatelském prostoru, pokud vím.

          • pravda je taky ta, že kdyby s tím „pánové“ nevyběhli na veřejnost, nic z tohohle by se nedělo, jako v mnoha jiných případech … „aktivní blbec je horší, než třídní nepřítel“ …

          • gogo1963: „aktivní blbec je horší, než třídní nepřítel“

            Ano, v pripade Melty a Spektry je to dokonaly primer. Bohuzel.

          • Ty chyby už byly prý nezávisle objevené minimálně na dvou místech (zřejmě proto je pod tím podepsáno víc autorů). Dlouhodobě by to pod pokličkou nezůstalo, bezpečnostní věci, o kterých se jednou ví, se prostě musí řešit.

          • Honzo, nic proti, však ony se pravděpodoně řešily, akorát jaksi pomalu …

    • Protože donedávna ještě nikdo (kromě pověřených lidí) o těch chybách nevěděl. Je jasné, že se daný exploit se začne zneužívat až v době, kdy se o něm dozví crackeři – jak by ho měli ještě donedávna zneužít, když nevěděli že existuje?

      • No ono to platí asi i o těch antivirech – dokud není ta zranitelnost zveřejněná/popsaná a vydaný ten PoC kód, tak je asi taky nižší šance, že se na to přijde, pokud by se to někde zneužívalo. Vzhledem k tomu, že je to o čtení dat, tak to na napadeném systému nezanechá stopy.

    • Tak tohle bych netvrdil – možná se budeš divit, ale ti, kteří tyto chyby opravdu využívají, je výrobcům/vývojářům nereportují – i když je často prodávají. Takže bych to neviděl tak, že na tu chybu se přišlo až teď, on na ní někdo mohl přijít už dávno předtím, a dokonce jí i zneužít, jen se o tom nevědělo. Přeci jen u takovéto, na zneužití dost náročné chyby se dá předpokládat, že pokud jí někdo zneužil, tak cíleně například na nějakou firmu, atp… a ty většinou ani netuší jak se k nim do sítě útočník dostal…

        • Kde bereš tu jistotu, že některou z těchto chyb nezneužil někdo dříve? Není to jen tvoje domněnka? Podle tvého názoru se vždy viry/malware apod. začnou tvořit až když někdo zranitelnost publikuje? To jsi mimo

          • mimo jsi ty, asi moc nepřemýšlíš … přečti si statistiky ukradených dat a peněz za rok a to nemá na svědomí žádný metldown ani spectre, jen tupost nebo lhostejnost uživatelů …

          • Jistě, každý komu ukradli data to podle tebe zjistí hned po přihlášení do systému? Vsadíš pravou ruku, že tuto zranitelnost nikdo nikdy nezneužil? Ne nutně znamená krádež dat zmizení peněz z účtu. Naopak, je dobře, že se zranitelnosti zveřejňují, naopak si lidi mohou dávat větší pozor. Ale chápu, že pro člověka tvého myšlení je pohodlnější představa, že se nic nemůže stát, žádné díry v systémech a programech nejsou a zlí novináři ti ten tvůj malý svět boří.

          • můžeš si dávat pozor jaký chceš, v tomhle případě si sám nijak nepomůžeš …a vůbec, oba mluvíme o rozdílných věcech … ty o nějakých virech, já o hardwarové „chybě“ o které doposud není jasno, jak cíleně a do jaké míry může býti zneužita … to tvoje plácání na závěr je zbytečné, shazuješ sám sebe …

          • Ano teď si konečně rozumíme. Sám si s tímhle nepomůžeš, proto se dělají ty záplaty a pokud jsi tu zprávu četl, pak ti musí být jasné, že reálná hrozba tady je (nejen pro datová centra), plácáš tu jen ty. Jen, aby bylo jasno – podle tebe je to bublina a žádnému uživateli těmito chybami vůbec nic nehrozí? Já jen, že kdyby to tak bylo, tak asi ta spousta firem žádné záplaty dělat nebude. Je vidět, že nejsi z oboru a jen se snažíš být chytrý.

          • :DDD popiš tu hrozbu, ale ne ty bláboly, co všude píšou … popiš ji, jak reálně může být comp ohrožen, pak smeknu, pokud budeš jen blábolit, můžeš se třeba snažit být chytrý, nepomůže ti to …

    • Celý je to divný třeba takový rok 2014 a níž žádný metldown ani spectre se neřešilo žádný záznam že by tohle někdo zneužíval dřív ale teď co je venku 8. Generace tak najednou je to velmi závažná chyba kterou musíme opravit a která zpomalí starší generace ale na téhle poslední generaci zpomalení nepocítíte a co z toho vyplývá? Teď všichni vědí že nějaký metldown a spectre existuje dělají se útoky tak musíme postrašit lidi ať přejdou na dražší a novější procesory protože starý, pomalý a zranitelný nikdo nechce tak si na tom nahrabem 😀

  1. „Drtivá většina vzorků údajně má formu zkompilovaných binárek spustitelných na Windows, MacOS nebo Linuxu, jejichž zneužití by tedy vyžadovalo lokální spuštění tohoto programu nebo jeho vpravení do na první pohled legitimní aplikace. Ovšem AV-TEST uvádí, že už byla nalezena také implementace exploitu chyby Spectre v javascriptu“

    Zase kecas jako vzdycky.

    Takze doporuceni je nasledujici:

    Neinstalovat warez, to znamena nechytit to lokalne a mit aktualizovanej prohlizec, to znamena nechytit to pres javascript, nic vic neni potreba!

      • ve všem? Řeší se nějaká potenciální dírka, a třeba megavrata na domácích serverech od WD, kterými je možné nejen číst, stahovat, upravovat, ale dokonce bez veliké námahy nahrávat jakékoliv soubory, bylo řešeno jedním článečkem na úrovni předpovědi počasí …

      • „Doporučení plynoucí z těchto zpráv je takové … To znamená v prvé řadě opravy operačního systému proti chybě Meltdown na procesorech Intel, která má zřejmě nejnebezpečnější dopad a nejsnazší zneužití … ideálně také aktualizace mikrokódu procesoru“

        Neni to pravda, beznemu domacimu uzivateli nic nehrozi a nepotrebuje aktualizovat ani OS proti Melte ani mikrokod proti Spektre.

  2. Jedinej důvod této paniky je doinstalování dalších BigBrother zadních vrátek, aneb Win10 ještě neřeklo své poslední slovo : “ byly nainstalovány pokud možno všechny dostupné bezpečností opravy těchto problémů. „

    • Proč tak složitě? Myslíš, že nestačí půlroční interval, který tě donutí prolézt všechna možná nastavení, aby jsi zjistil, co nový update změnil? Tohle by bylo zbytečně okaté

    • Takže vymyšlená díra z konspirační teorie je problém, ale reálně dokázaná díra, kterou ty záplaty opravují nebo aspoň zmírňují, to je zlo? 🙂

      Pánové, pánové. Zkuste se trochu odpoutat od těch výkonnostních dopadů a kouknout se na to střízlivě. Ano, je to nepříjemnost, ale to není důvod na to reagovat iracionálně a dělat při tom zhodnocení situace a reagování chyby.

      Vemte si to takhle: novej software má taky pravidelně větší požadavky, dělá toho víc. Novej OS/desktop na Linuxu taky mívá víc funkcí, služeb a potřebuje víc výkonu. Nový hry mají víc efektů, fyziky, AI výpočtů, taky potřebují víc výkonu. Vývoj všeho softwaru v podstatě snižuje dostupnej výkon na identickém procesoru nebo dalším hardwaru. A tohle není nic moc jiného – nový software posílil bezpečnost za tu cenu, že to stojí nějakej výkon, novější CPU to jednou vykompenzujou. A nejsou to jediné security features, které PC zpomalí.

      Tím nechci nějak kázat, ale IMHO je rozumnější to prostě přijmout. Někdy v životě prostře přijdou nepříjemnosti a člověk nemůže mít všechno. A jako ztovna nějaký jednociferný procento výkonu dolů na desktopu/notebooku… člověk může v životě potkat o dost horší věci.

      • co se tohohle týče, já to neřeším osobně, windows záplaty se aktualizují automaticky, bios jsem flashnul hned, jak byl nový a nepoznám rozdíl … jen mě nesedí něklik věcí … původně se psalo o nějakém náhodném čtení dat „bit after bit“ z cache CPU při nějakém spekulativním výkonu, teď už je k tomu potřeba vpravit do compu „škodlivý kód“, co se bude psát zítra? Pokud někdo chytne nákazu, jsou jednodušší metody, jak obrat oběť o data, peníze, než přes kód číst data z CPU nebo RAM …

        • Rád se tě (bez ironie) zeptám, o fous výš v diskuzi se biješ za to, jak jsou záplaty zbytečné, že vlastně nic nehrozí, ale přitom to co je za opravy dostupné tak jsi použil, není to trochu rozpor? (Btw: mám též opravu, podařilo se ji nainstalovat windowsům na cca 18 pokus a též nepozoruji žádný pokles výkonu až na jednu „drobnost“. Dříve jsem v klidu zálohoval data na NAS a při tom hrál hru bez toho, abych pozoroval úbytek výkonu, nyní to samé až na to, že když se zálohování nebo přesun dat dokončí, dojde ke znatelnému vteřinovému lagu a poklesu fps ze cca 120 na 60, tj. je to znát v minimálních fps)

        • není v tom žádný rozpor … aktualizace se instalují automaticky, v ničem je neomezuji a bios bych nahrál nový i bez opravy mikrokódu, řeší i jiné věci, třeba kompatibilitu hw atd …

      • NE.

        Je to jinak, programy si muzu vybrat jake chci instalovat, nemusim mit nove verze, je to moje rozhodnuti.
        Blaznostvi v pripade Spektry a Melty je v tom, ze je tam jednoznacnej vliv na vykon a uzivatelum nebylo umozneno si v pripade Windows 10 vybrat vubec a v pripade Windows 7 pouze za cenu, ze prestanou aktualizovat OS i na ostatni bezpecnostni chyby.

        Takze neni divu, ze tady vznika nejake podezreni na zamer. At daji lidem moznost volby klidne s tim, ze v defaultu se to bude instalovat, ale jinak je to svinarna, kdyz navic vime, jak ty chyby nejsou zdaleka pro kazdeho uzivatele nijak nebezpecne.

        • IIRC není pravda, že uživatel nemá na výběr. Opravy v Linuxu se dají deaktivovat parametrem při boodu, na Windows jsou na to IIRC ploložky v registrech. Takže člověk to může vypnout, aniž by musel blokovat windows update.

      • Osobně vidím problém v tom, že ta chyba je sice reálná a velice nebezpečná, ale hlavně pro virtuální stroje, protože boří dříve neproniknutelné hranice.

        Pro domácího uživatele to moc velký efekt nemá, protože když bude nějaký hacker chtít, tak najde jednodušší cestu např. tyto díry mi přijdou v současnosti pro domácího uživatele mnohem nebezpečnější, ale tady se řeší nějaké byť populární tak obskurdnosti:
        https://www.root.cz/zpravicky/flash-ma-nezaplatovanou-diru-ktera-je-uz-aktivne-zneuzivana/
        https://www.root.cz/zpravicky/firefox-56-57-a-58-zranitelny-instalujte-58-0-1/

        Představa a prezentace, že Meltdown/Spectre jsou největší hrozby pro domácího uživatele je IMO mnohokrát nebezpečnější, než ty chyby samotné 🙂

  3. To je komedie tu v diskusi, jak se místní „experti“ tváří, že vědí všechno nejlíp. 😀 😀
    Fakt je, že ty patche museli udělat už jen z toho důvodu, že pokud by ty díry nezalepili, tak by zcela jistě bylo jen otázkou času, kdy by je první zákazníci začali žalovat. Protože pokud výrobce ví o bezpečnostní hrozbě a nereaguje na ni, tak by tu hromadnou žalobu téměř jistě prohrál.

  4. Mě to baví! Exporti Redmarx a Demagogo se předhánějí v tom, kdo vyplodí větší blbost. 😀
    Doufám, že tyhle dva exoty nebere nikdo vážně.

    BTW, říkal jsem, že exploity budou – jsou tady, ačkoli věřím, že 95% z nich jsou jen „testovací buildy“ původního kódu Google.
    BTW, říkal jsem, že znalost principu exploitu bude prokázána z více zdrojů než jen od Google – náznaky se už objevují. Ona Security by Oscurity“ totiž v podstatě „security“ není, zejména ne v případě, že potenciální cíl má miliardy potencionálních obětí.