Sicherheitslücken in der Intel-Firmware und im Prozessor "Kernel Memory Leaking"

VERÖFFENTLICHT AM 4. Januar 2018

Übersicht

Intel hat kürzlich eine Reihe von Schwachstellen veröffentlicht, die Auswirkungen auf die Implementierung und das Design einiger ihrer Prozessoren und Firmwares haben, die Bedrohungen von Geräten auf Serverplattformen betreffen.

In den folgenden Abschnitten wird beschrieben, wie sich diese Sicherheitsanfälligkeiten auf Netzwerkgeräte und die serverbasierte Infrastruktur in einem Rechenzentrum auswirken.

Intel Firmware-Sicherheitsanfälligkeit

Um den Risiken dieser Sicherheitsanfälligkeiten zu begegnen, hat Intel Empfehlungen veröffentlicht, mit denen System- und Sicherheitsadministratoren diesen Bedrohungen durch die Bereitstellung einiger Ressourcen begegnen können:

Intel-SA-00086-Sicherheitsüberprüfung
Intel-SA-00086-Supportartikel
Intel-SA-00086 Erkennungstool

Es ist zu empfehlen Lesen Sie die obigen Beobachtungen und Wenden Sie die Firmware-Updates an Die verschiedenen Anbieter haben dafür gesorgt, dass bei künftigen Angriffen, die diese Schwächen ausnutzen könnten, eine sichere Infrastruktur aufrechterhalten wird.

In Bezug auf die Auswirkungen dieser Sicherheitsanfälligkeiten auf die Netzwerkinfrastruktur in einem Rechenzentrum können wir die folgenden Voraussetzungen zusammenfassen:

1. Diese Sicherheitsanfälligkeiten betreffen die überwiegende Mehrheit der Intel-Prozessoren und werden wahrscheinlich von jedem von ihnen betroffen sein.
2. Diese Sicherheitsanfälligkeiten basieren auf einer Privilegieneskalationsbedrohung und erfordern daher lokalen Zugriff auf das Betriebssystem, um beliebigen Code ausführen zu können. Zumindest ist ein Remotezugriff als Administrator erforderlich, um diese Sicherheitsanfälligkeiten auszunutzen.
3. Es ist erforderlich, die von den Anbietern bereitgestellten Firmware-Updates anzuwenden und zu deaktivieren, ob die Dienste möglich sind: Intel Management Engine (Intel ME), Intel Trusted Execution Engine (Intel TXE), Intel Server Platform Services (SPS) und Intel ATM.
4. Verhindern Sie den lokalen und Remote-Zugriff auf das Betriebssystem, indem Sie das Verwaltungsnetzwerk isolieren und Benutzer- oder Prozesszugriffsberechtigungen für das Betriebssystem vermeiden.
5. Es betrifft virtuelle oder Hardwareplattformen, lokale oder Cloud-Umgebungen oder sogar Mikrodienste. Jede Schicht sollte sich um den Schutz dieser Bedrohung kümmern.

Kernel-Memory-Leaking-Schwachstelle oder Intel-CPU-Fehler

Intel-CPUs sind von einem kritischen Sicherheitsfehler auf Chipebene betroffen, der nicht durch ein Mikrocode-Update behoben werden kann, sondern auf Betriebssystemebene und auf alle von ihnen (Windows, Linux und macOS) wirkt.

Das Kernel Memory Leaking Schwachstelle Sie stehen vor dem Problem, dass jedes Benutzerraumprogramm (Datenbanken, Javascript, Webbrowser usw.) auf bestimmte Inhalte im geschützten Kernelspeicher illegal zugreifen kann, indem die im Betriebssystem angegebenen Grenzen des virtuellen Speichers überschritten werden. Der Fix auf Betriebssystemebene ist mit der Implementierung von Kernel Page Table Isolation (KPTI) um sicherzustellen, dass der Kernel-Speicher für die Benutzerprozesse nicht sichtbar ist.

Da dies jedoch keine perfekte Welt ist, führt die durch diesen Patch angewendete verbesserte Sicherheit zu einer großen Leistungseinbuße für Benutzerprogramme von etwa 30%. Außerdem hängt die Verlangsamung massiv von der Arbeitslast und der E / A-intensiven Nutzung zwischen dem Kernel und den User Space-Programmen ab. Für die spezifischen Fälle von Netzwerkfunktionen in einem Rechenzentrum ist dies nicht so kritisch, da ihre Aufgaben klar sind und nicht mit zu viel Datenverarbeitung behandelt werden, obwohl intensive Layer 7-Funktionen wie SSL-Offload, Inhaltsumschaltung usw.

Diese Sicherheitsanfälligkeit kann hauptsächlich von Programmen oder angemeldeten Benutzern missbraucht werden, um den Dateninhalt des Kernelspeichers zu lesen. Aus diesem Grund sind Umgebungen mit gemeinsam genutzten Ressourcen wie Virtualisierung, Mikrodienste oder Cloud-Systeme eher betroffen und werden missbraucht.

Bis ein endgültiger Patch auf Betriebssystemebene bereitgestellt wird, werden die im letzten Abschnitt festgelegten Präventionspunkte vorerst ausreichen.

AMD hat bestätigt, dass ihre Verarbeiter nicht von der Sicherheitsanfälligkeit und damit von der Strafleistung betroffen sind.

Meltdown- und Spectre-Angriffe

Meltdown- und Specter-Angriffe beziehen sich auf Seitenkanal-Schwachstellen, die in verschiedenen CPU-Hardwareimplementierungen gefunden wurden. Sie nutzen die Möglichkeit, Informationen aus CPU-Anweisungen zu extrahieren, die mit dem CPU-Cache als Seitenkanal ausgeführt werden. Derzeit gibt es einige Varianten dieser Angriffe:

Variante 1 (CVE-2017-5753, Spektrum): Bounds Check Bypass
Variante 2 (auch CVE-2017-5715) Spektrum): Verzweigungszielinjektion
Variante 3 (CVE-2017-5754, Kernschmelze): Rogue Data Cache Load, Überprüfung der Speicherzugriffsberechtigung nach dem Lesen des Kernel-Speichers

Weitere technische Erklärung dieser Angriffe in http://www.kb.cert.org/vuls/id/584653.

Auswirkungen von Meltdown und Spectre in Zevenet Load Balancern

Das Risiko für diese Sicherheitsanfälligkeiten in Zevenet Load Balancer ist gering Als Angreifer sollte er lokalen Zugriff auf das Betriebssystem haben und in der Lage sein, bösartigen Code mit Benutzerrechten auszuführen, um diese auszunutzen. Zevenet Enteprise Edition ist eine netzwerkspezifische Appliance, mit der ein lokaler Benutzer ohne Administratorrechte keinen Code von Drittanbietern ausführen kann. Dies ist daher unwahrscheinlich und kann durch bewährte Verwaltungsmethoden verhindert werden.

Außerdem ist das Load Balancer-Verwaltungsnetzwerk normalerweise privat und es gibt standardmäßig keinen zusätzlichen Benutzer als einen Administrator, so dass das Risiko gering ist. Andererseits können Mehrmandanten-Systeme wie öffentliche virtuelle Umgebungen, Containerplattformen und Cloud-Umgebungen dem größten Risiko ausgesetzt sein.

Um den Angriff zu verhindern, folgen Sie bitte den oben aufgeführten Sicherheitsempfehlungen.

Derzeit gibt es einige Patches auf Betriebssystemebene, um diese Sicherheitsanfälligkeiten vollständig zu verringern, sie haben jedoch einige Nebeneffekte in der Leistung. Unser Sicherheitsteam arbeitet an der Bereitstellung eines endgültigen Patches, um diese Sicherheitsbedrohung so schnell wie möglich zu minimieren und die Auswirkungen auf die Anwendungsbereitstellungsdienste so gering wie möglich zu halten.

Weitere Mitteilungen erfolgen durch die Offizielle Support-Kanäle.

Teilen:

Dokumentation unter den Bedingungen der GNU Free Documentation License.

War dieser Artikel hilfreich?

Ja Nein

Verwandte Artikel