Cảnh báo lỗ hổng nghiêm trọng trong bộ vi xử lý của Intel
Ngày 14/5/2019, các chuyên gia về an toàn thông tin (ATTT) thuộc Đại học (ĐH) Công nghệ Graz của Áo và ĐH Công giáo Leuven của Bỉ đã công bố một nhóm bao gồm 04 điểm yếu ATTT trong bộ vi xử lý Intel.
Nhiều nhà nghiên cứu độc lập đã thông báo với Intel về các lỗ hổng MSD (Microarchitectural Data Sampling) bắt đầu từ tháng 6/2018, nhưng "gã khổng lồ" chip đã yêu cầu tất cả các nhà nghiên cứu giữ bí mật một số phát hiện của họ trong hơn một năm, cho đến khi công ty có thể đưa ra các bản sửa lỗi cho các lỗ hổng.
Những nhà nghiên cứu thậm chí đã tạo sẵn một công cụ cho người dùng Windows và Linux để kiểm tra hệ thống của họ chống lại các cuộc tấn công RIDL và Fallout cũng như các lỗi thực thi ẩn dấu khác. Các nhà nghiên cứu đã thử nghiệm các khai thác bằng chứng về khái niệm của họ đối với các kiến trúc vi mô của Intel Ivy Bridge, Haswell, Skylake và Kaby Lake.
Tương tự như Spectre và Meltdown được phát hiện đầu năm ngoái ảnh hưởng đến nhiều hệ thống máy tính trên thế giới, lỗ hổng này hoạt động như một phiên bản khác, tinh vi, nguy hiểm hơn. 04 điểm yếu ATTT được công bố lần này có mã lỗi quốc tế là: CVE-2018-12126; CVE-2018-12130; CVE-2018-12127; CVE-2019-11091.
Các điểm yếu ATTT này được các chuyên gia đánh giá là nghiêm trọng và có ảnh hưởng tới nhiều thiết bị đang sử dụng bộ vi xử lý của Intel bao gồm: máy tính để bàn, máy tính xách tay, máy chủ, điện thoại di động sử dụng các hệ điều hành Linux, Windows, MacOS, Android ...
Các hình thức tấn công lợi dụng 04 điểm yếu ATTT trên được các chuyên gia công bố và vẫn đang được tiếp tục nghiên cứu, đánh giá sâu hơn bao gồm: Tấn công ZombieLoad sử dụng điểm yếu CVE-2018-12130; Tấn công RIDL sử dụng điểm yếu CVE-2018-12127 và CVE-2019-11091; Tấn công Fallout sử dụng điểm yếu CVE - 2018-12126.
Tin tặc có thể làm gì với những lỗi này
Cụ thể, tin tặc có thể xâm nhập kênh phụ (side-channel), khai thác lỗ hổng trong quá trình thực thi suy đoán (speculative execution) và tấn công trực tiếp vào bộ vi xử lý.
Tấn công ZombieLoad lấy tên từ "Zomebie Load", lượng dữ liệu mà bộ xử lý không thể hiểu hoặc không xử lý đúng cách, do vậy nó buộc phải nhờ sự trợ giúp từ các microcode (một tập lệnh bên trong CPU để mô tả các lệnh chi tiết cần thực hiện) của bộ xử lý để tránh sự cố. Các ứng dụng thường chỉ có thể thấy dữ liệu của riêng chúng, nhưng lỗ hổng này cho phép dữ liệu đó chảy qua các tường ngăn.
Việc thực thi suy đoán rất quan trọng, giúp bộ xử lý chạy phần mềm nhanh và hiệu quả hơn bằng cách suy đoán hệ thống đang cần gì và đưa ra giả định. Nếu giả định đưa ra là hợp lệ thì quá trình thực thi sẽ được tiến hành.
Cũng giống như với Meltdown và Spectre, không chỉ PC và các laptop chịu ảnh hưởng từ ZombieLoad, mà cả đám mây cũng có thể bị tấn công. ZombieLoad có thể được kích hoạt trong các máy ảo, vốn là những hệ thống được cách ly khỏi các hệ thống ảo và các thiết bị host khác.
Do vậy, ZombieLoad sẽ làm rò rỉ bất kỳ dữ liệu nào hiện đang được tải trong nhân bộ xử lý. Intel cho biết các bản vá cho microcode sẽ giúp làm sạch bộ đệm của bộ xử lý, ngăn chặn việc đọc dữ liệu.
Intel cho biết ZombieLoad không chỉ có khả năng đánh cắp thông tin từ các ứng dụng, hệ điều hành mà còn có thể đọc dữ liệu và truy cập trực tiếp vào lõi của bộ xử lý hoặc khai thác dữ liệu trên đám mây.
Đây sẽ là một vấn đề nghiêm trọng trong môi trường đám mây, nơi máy ảo của các khách hàng khác nhau đang chạy trên cùng phần cứng máy chủ.
Cho dù không có cuộc tấn công nào được báo cáo công khai, các nhà nghiên cứu không hoàn toàn loại trừ khả năng đó, vì không nhất thiết bất kỳ cuộc tấn công nào cũng để lại dấu vết.
Theo các nhà nghiên cứu, lỗi này ảnh hưởng đến mọi máy tính dùng bộ xử lý Intel từ năm 2011, cho phép đánh cắp tất cả mọi dữ liệu riêng tư quan trọng của người dùng như mật khẩu, khóa bảo mật, khóa tài khoản…
Tin tặc khai thác điểm yếu CVE - 2018-12126 để tấn công Fallout. Đây là dạng tấn công thực thi tạm thời, đánh cắp thông tin từ Store Buffers. Lỗ hổng này được sử dụng đọc dữ liệu của hệ điều hành, tìm ra vị trí bộ nhớ và kết hợp với các cuộc tấn công khác. Ngoài ra, Fallout còn có thể được dùng để tấn công KASLR và làm rò rỉ dữ liệu trong nhân hệ điều hành.
Tấn công RIDL sử dụng điểm yếu CVE-2018-12127 và CVE-2019-11091, trên trang thehackernews.com, các nhà nghiên cứu đã đăng tải một đoạn video cho thấy lỗ hổng này có thể được khai thác tấn công RIDL nhằm cho biết nạn nhân đang truy cập trang web nào theo thời gian thực, cũng như dễ dàng lấy được mật khẩu và token truy cập để đăng nhập vào tài khoản trực tuyến của nạn nhân.
Hãy cập nhật ngay bản vá
Hiện tại Intel đã công bố danh sách sản phẩm bị ảnh hưởng và kế hoạch cập nhật, đồng thời làm việc với các doanh nghiệp sản xuất hệ điều hành, firmware, thiết bị để hỗ trợ cập nhật bản vá.
Các nhà cung cấp hệ điều hành, công ty sản xuất thiết bị và phần mềm cũng được khuyến nghị phát hành bản vá bảo mật càng sớm càng tốt.
Intel đã phát hành microcode để vá các bộ xử lý bị tổn thương, bao gồm Intel Xeon, Broadwell, Sandy Bridge, Skylake và Haswell. Ngoài ra cả Intel Kaby Lake, Coffee Lake, Whiskey Lake và Cascade Lake cũng bị ảnh hưởng, cũng như cả các bộ xử lý Atom và Knights.
Bên cạnh Intel, những người khổng lồ công nghệ khác, như các nhà sản xuất thiết bị và PC, cũng đang phát hành các bản vá cho những cuộc tấn công có thể xảy ra.
Các nhà sản xuất máy tính như Apple và Microsoft cũng như cả nhà sản xuất trình duyệt, Google đã ra mắt các bản vá. Apple đã khắc phục sự cố trong bản cập nhật Safari và hệ điều hành macOS Mojave 10.14.5 mới nhất. Microsoft cũng vừa phát hành bản vá hệ thống, tuy nhiên trong một số trường hợp việc cài đặt bản cập nhật mới sẽ ảnh hưởng đến hiệu suất hệ thống.
- Đối với hệ điều hành Windows: Bật chương trình cập nhật bản vá tự động hoặc tải và cập nhật bản vá tại:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv190013
- Đối với hệ điều hành MacOS, tải và cập nhật tại: https://support.apple.com/en-us/HT210107
- Hệ điều hành Linux: Tìm kiếm và cập nhật nhân cho hệ điều hành, hoặc cập nhật theo gói bản vá:
Redhat: https://access.redhat.com/security/vulnerabilities/mds
Ubuntu:https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/MDS?_ga=2.264180484.929460546.1557968026-2003291577.1557968026
- Hệ điều hành ảo hóa của Vmware:
https://www.vmware.com/security/advisories/VMSA-2019-0008.html
Cũng tương tự như với Meltdown và Spectre, Intel cho biết các bản vá ZombieLoad sẽ gây ảnh hưởng đến hiệu năng bộ xử lý.
Đại diện Intel cho biết, hiệu năng trên các máy tính cá nhân có thể giảm nhiều nhất đến 3% và đến 9% trên các môi trường trung tâm dữ liệu. Nhưng Intel cũng cho rằng, chúng gần như không thể nhận ra trong hầu hết các trường hợp.
Nhằm bảo đảm ATTT và phòng tránh việc đối tượng tấn công lợi dụng điểm yếu ATTT để thực hiện những cuộc tấn công mạng nguy hiểm, Cục ATTT (Bộ TTTT) khuyến nghị các quản trị viên tại các cơ quan, đơn vị và người dùng thực hiện:
- Kiểm tra, rà soát, xác định các máy tính bị ảnh hưởng bởi các điểm yếu trên; Cập nhật bản vá hoặc nâng cấp các hệ điều hành để tạm thời vá các điểm yếu; Tham khảo hướng dẫn rà soát, xác định và cập nhật.
- Đối với các hệ điều hành chưa có thông tin về bản vá, cần theo dõi thường xuyên để nâng cấp ngay khi có biện pháp xử lý.
- Đối với những dòng sản phẩm mà Intel không có kế hoạch cập nhật cần lên kế hoạch thay thế trong thời gian tới.
- Thường xuyên theo dõi kênh cảnh báo của các cơ quan chức năng và các tổ chức lớn về ATTT, nhằm đối phó kịp thời với các nguy cơ tấn công mạng.
Trong trường hợp cần thiết, có thể liên hệ Trung tâm Giám sát an toàn không gian mạng quốc gia thuộc Cục ATTT theo số điện thoại: 024.3209.1616, thư điện tử ais@mic.gov.vn hoặc fanpage của NCSC theo đường dẫn https://www.facebook.com/govSOC/ để được hỗ trợ kịp thời.