×

CPU漏洞引爆全球危机,深信服持续为您提供应对指南
  

SANGFOR_智安全 8337

{{ttag.title}}
CPU漏洞引爆全球危机,某公司持续为您提供应对指南

      近日,Google安全团队爆出Intel的CPU存在安全漏洞,编号分别为CVE-2017-5753、CVE-2017-5715以及CVE-2017-5754。本次漏洞是由于CPU的设计中“预测执行”和“乱序执行”在实现上存在缺陷导致的,攻击者可以通过漏洞获取宿主机的敏感信息,如密码等。本次漏洞影响Intel1995年之后生产的所有CPU


漏洞分析

漏洞危害
      本次披露的漏洞影响Intel自1995年之后生产的所有CPU,同时受影响的还有AMD、ARM等存在“预测执行”等能力的CPU,在这些CPU架构之上的Android、iOS、Linux及Windows等主流操作系统均受影响。

      针对CPU进行攻击有Meltdown和Spectre两种方法。 Meltdown涉及CVE-2017-5754漏洞,攻击者可以通过漏洞获取系统内核中的数据,破坏应用和系统的隔离,该漏洞主要是Intel的CPU受影响。Spectre涉及CVE-2017-5753、CVE-2017-5715两个漏洞,攻击者可以通过漏洞获取其他进程中的数据,破坏了应用之间的隔离,该漏洞影响所有具有“预测执行”等能力的CPU,包括AMD及ARM。

两种类型的攻击均可能导致攻击者获取敏感信息,也可以导致ASLR等漏洞缓解机制的失效,辅助进行其他远程代码执行漏洞的利用。但如果攻击者想要利用这些漏洞,需要在被攻击主机上执行相关CPU指令,如诱使浏览器打开恶意网页通过JavaScript远程执行,或者直接通过低权限在操作系统上执行代码。


漏洞检测
      目前验证漏洞的PoC(https://www.exploit-db.com/exploits/43427/)已经公布,可以通过PoC验证是否受漏洞影响。以下是在linux系统本地执行Spectre漏洞验证PoC的结果,可以将 "The Magic Words are SqueamishOssifrage." 这个字符串序列打印出来该主机表明受漏洞影响:


​在Windows受漏洞影响的主机运行PoC结果如下:


​解决方案
CPU、操作系统、浏览器厂商解决方案
      此次CPU漏洞事件修复难度较高,需要CPU厂商、操作系统厂商等共同协作进行修复,目前部分CPU厂商、操作系统厂商、浏览器厂商采取了措施来解决该问题。

1CPU芯片厂商
以下是部分CPU芯片厂商的通告,请持续关注并在CPU芯片厂商给出升级补丁后尽快进行升级。
Intel:
Intel宣称已经发布了针对其主流CPU的更新,并将在下周末前发布针对近5年90%存在此问题的CPU的安全更新:
https://newsroom.intel.com/news/intel-responds-to-security-research-findings
AMD:
AMD主要受Spectre漏洞影响,其安全公告中表示该漏洞由软件和操作系统厂商来发布补丁修复:
https://www.amd.com/en/corporate/speculative-execution
ARM:
ARM提供了新的编译器并且发布了Linux的ARM内核补丁:
https://developer.arm.com/support/security-update

2、操作系统厂商
目前已经有Windows、MacOS、Redhat等操作系统给出了相关解决方案。
Windows:
https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution
MacOS:
升级至10.13.2版本
Redhat:
https://access.redhat.com/security/vulnerabilities/speculativeexecution
https://access.redhat.com/errata/RHSA-2018:0007
https://access.redhat.com/errata/RHSA-2018:0008
SUSE Linux EnterpriseServer:
https://www.suse.com/security/cve/CVE-2017-5754/
https://www.suse.com/security/cve/CVE-2017-5753/
https://www.suse.com/security/cve/CVE-2017-5715/

3、浏览器
针对这个漏洞攻击者可能利用浏览器进行远程攻击,浏览器厂商也针对此次漏洞进行了版本升级。
FireFox:
更新至57版本:
https://download-installer.cdn.mozilla.net/pub/firefox/releases/57.0.4/
IE及Edge:
https://support.microsoft.com/zh-cn/help/4056890/windows-10-update-kb4056890
Chrome:
更新至64版本(预计1月23日更新)

某公司解决方案
1、通过某公司检测工具进行检测,并及时升级补丁:
用户可以根据操作系统类型,下载对应的工具,检测是否受到该漏洞影响,具体下载地址如下,如果存在漏洞,请及时下载补丁进行升级。
Windows版检测工具:
http://sec.sangfor.com.cn/download?file=spectreattack.exe
Linux版检测工具:
http://sec.sangfor.com.cn/download?file=spectreattack

2、此次漏洞存在一种攻击者诱使受害者打开恶意网页并执行其中的JavaScript代码来实现远程代码攻击的可能,针对这种情况,对于使用某公司下一代防火墙的用户,请及时更新恶意URL地址库,杜绝恶意网页的访问,从源头上避免可能出现的漏洞利用攻击。

某公司后续跟踪计划:
      本次漏洞是芯片底层设计缺陷所致,影响范围非常大。但要想利用这些漏洞,攻击者需要获取被攻击主机本地执行CPU指令的权限。如果想要远程利用该漏洞,可能通过浏览器等方式进行,那么攻击者需要诱使受害者打开恶意网页并执行其中的JavaScript代码来实现。如果您安全意识良好,不轻易打开陌生网页、陌生邮件中的附件或链接,基本不会受这种远程攻击方式的影响。

      由于该漏洞影响范围广,现阶段用户仍有受到远程攻击的风险。某公司千里目安全实验室将持续关注此漏洞的最新动态,第一时间为您提供可靠完整的解决方案,协助您及时完成安全加固!

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

Sangfor_闪电回_朱丽 发表于 2018-1-9 10:14
  
这个漏洞影响范围很大,小伙伴们赶紧更新补丁,社区也会将最新的消息及时提供给大家!
LaoYang 发表于 2018-1-10 09:29
  
好的哦
北纬 发表于 2018-1-10 09:43
  
某公司设备漏洞怎么修
Minimal 发表于 2018-1-10 14:51
  
某公司终于发文了,不知道虚拟化这边你们的补丁啥时候跟进。
Haskiy 发表于 2018-1-16 08:47
  
信服君,你为何这么叼。
ztbf 发表于 2018-1-16 10:48
  
谢谢,虚拟化这边补丁什么时候有。
adds 发表于 2018-1-16 12:56
  
来呀,快乐呀!反正有大把时光!
feeling 发表于 2018-1-17 10:04
  
不错啊 很全面
Anson钟 发表于 2018-1-17 11:53
  
吓的我赶紧把电脑的浏览器卸载掉!
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
干货满满
技术笔记
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
2023技术争霸赛专题
技术咨询
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
升级&主动服务
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人