Lỗ hổng Meltdown và Spectre - Hướng dẫn và khắc phục
Meltdown (CVE-2017-5754) có thể cho phép tin tặc truy cập đặc quyền vào các bộ phận của bộ nhớ máy tính được sử dụng bởi một ứng dụng/ chương trình và hệ điều hành. Spectre (CVE-2017-5753 và CVE-2017-5715) cho phép kẻ tấn công ăn cắp thông tin bị rò rỉ trong các tệp kernel/ cached hoặc dữ liệu được lưu trữ trong bộ nhớ của các chương trình chạy.
1. Hệ thống bị ảnh hưởng
Các triển khai phần cứng CPU.
2. Tổng quan
Theo Bizfly Cloud tìm hiểu vào ngày 3/1/2018, NCCIC (the National Cybersecurity and Communications Integration Center) đã phát hiện ra một loạt các lỗ hổng bảo mật - có tên gọi là Meltdown và Spectre - gây ảnh hưởng trực tiếp đến các bộ xử lý máy tính. Những lỗ hổng này sẽ được khai thác nhằm mục đích đánh cắp dữ liệu nhạy cảm có trong bộ nhớ máy tính của người dùng.
3. Mô tả
Trong quá trình làm việc, phần cứng của CPU rất dễ bị tổn thương bởi hai loại tấn công kênh bên: Meltdown và Spectre.
Meltdown chính là một lỗi kĩ thuật, bằng cách làm "tan chảy" các ranh giới bảo mật được thực thi bởi phần cứng, Meltdown sẽ gây một loạt các ảnh hưởng lên desktops, laptops, and máy tính đám mây.
Spectre là một lỗ hổng, kẻ tấn công sẽ tến hành khai thác lỗ hổng này nhằm ăn cắp toàn bộ thông tin từ một chương trình nào đó của người dùng. Tên gọi Spectre bắt nguồn từ cụm "speculative execution" (speculative execution là một phương pháp tối ưu hóa, hệ thống máy tính sẽ thực hiện phương pháp này nhằm kiểm tra xem liệu nó có giảm thiểu sự chậm trễ trong quá trình hoạt động hay không). Spectre có tầm ảnh hưởng đến hầu hết các thiết bị bao gồm desktops, laptops, cloud servers, và smartphones.
4. Ảnh hưởng
Kẻ tấn công có thể chiếm quyền truy cập vào hệ thống bằng cách thiết lập các câu lệnh và thiết lập kiểm soát trên máy tính thông qua Javascript độc hại, quảng cáo độc hại (malvertising), hoặc lừa đảo phishing.
Sau khi chiếm quyền thành công, kẻ tấn công sẽ leo thang các đặc quyền để bắt đầu tiến hành khai thác các lỗ hổng của Meltdown và Spectre, bắt đầu đánh cắp các thông tin nhạy cảm từ bộ nhớ hạt nhân (kernel) của máy tính, như các kí tự được người dùng nhập từ bàn phím, các mật khẩu, các khoá mã hóa và các thông tin có giá trị khác.
5. Giải pháp
Giảm nhẹ
- NCCIC khuyến khích người dùng và các quản trị viên hãy tham khảo thông tin từ các nhà cung cấp phần cứng và phần mềm của mình, để có thể update được những thông tin bảo mật mới nhất.
Lỗ hổng Spectre thường tồn tại trong kiến trúc CPU hơn là trong phần mềm, không hề dễ dàng để vá lại lỗ hổng này, tuy nhiên, thật may mắn vì khả năng khai thác của lỗ hổng này cũng vì thế mà khó khăn hơn.
- Sau khi hoàn thành vá các lỗ hổng, hiệu suất hoạt động có thể khác nhau tùy thuộc vào từng trường hợp sử dụng.
NCCIC khuyến cáo các quản trị viên hãy luôn thực hiện nghiêm túc và chặt chẽ công tác giám sát hoạt động của các ứng dụng và các dịch vụ quan trọng. Đồng thời hãy kết nối chặt chẽ với các nhà cung cấp để giảm thiểu tối đa các thiệt hại nếu có thể.
- Ngoài ra, NCCIC cũng đưa ra khuyến cáo dành riêng cho người dùng cơ hở hạ tầng của công nghệ điện toán đám mây: hãy sử dụng CSP để giảm thiểu và khắc phục những ảnh hưởng bắt nguồn từ việc vá các hệ điều hành máy chủ và sự khởi động lại mang tính bắt buộc.
- Đối với những hệ thống máy tính chạy Windows Server, một số thay đổi registry phải được hoàn thành cùng các cài đặt bản vá lỗi. NCCIC khuyến nghị người dùng ưu tiên xác minh phiên bản Windows Server trước khi tải xuống các bản vá lỗi thích hợp và thực hiện các chỉnh sửa registry.
Bạn có thể tham khảo các thay đổi registry tại đây: https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution
6. Antivirus
Các phần mềm diệt virus điển hình được xây dựng trên một hệ thống quản lý chữ ký và vẫn có thể xảy ra khả năng phần mềm không hề phát hiện được các lỗ hổng. Chính vì vậy, NCCIC khuyên bạn hãy làm việc với nhà cung cấp phần mềm để xác nhận xem phần mềm của bạn có khả năng tương thích với bản vá lỗi Meltdown và Spectre hay không.
Bên cạnh đó, Microsoft cũng khuyến cáo các nhà cung cấp phần mềm diệt virus bên thứ ba, hãy thay đổi registry key của máy tính đang chạy phần mềm chống virus đó. Nếu không, máy tính người dùng sẽ không nhận được bất kỳ bản vá lỗi nào từ Microsoft:
- Windows Update
- Windows Server Update Services
- System Center Configuration Manager
Bạn có thể xem thêm thông tin chi tiết tại link sau: https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software
7. Thông tin nhà cung cấp
NCCIC khuyến cáo:
- Chỉ tải xuống bản vá hoặc vi code trực tiếp từ trang web của nhà cung cấp.
- Sử dụng môi trường thử nghiệm để xác minh bản vá trước khi áp dụng.
Thông tin nhà cung cấp các bạn hãy truy cập các link được liệt kê dưới đây:
DragonflyBSD: http://lists.dragonflybsd.org/pipermail/users/2018-January/313758.html
HP: http://support.hp.com/document/c05869091
Huawei: http://www.huawei.com/en/psirt/security-notices/huawei-sn-20180104-01-intel-en
LLVM: variant #2: http://lists.llvm.org/pipermail/llvm-commits/Week-of-Mon-20180101/513630.html
LLVM: builtin_load_no_speculate
Nutanix: http://info.nutanix.com/TA5G00u0C000PVD00O0A8Q0
NVIDIA: http://nvidia.custhelp.com/app/answers/detail/a_id/4609
Oracle: http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html
SuSE: http://lists.suse.com/pipermail/sle-security-updates/2018-January/date.html
Xen: http://xenbits.xen.org/xsa/advisory-254.html
VCCloud via www.us-cert.gov
>> Có thể bạn quan tâm: Petya Ransomware - Nhận biết và khắc phục
