Spettro e fusione sono utilizzati in attacchi su larga scala su sistemi senza patch [chiuso]

Naviga le tue risposte
6

Dobbiamo preoccuparci che Spectre e Meltdown vengano usati per un attacco su larga scala come Wannacry? Anche se le patch in uscita vengono distribuite su sistemi più recenti, ci saranno inevitabilmente A LOT di sistemi che non verranno riparati.

I sistemi interessati vanno dai router agli smartphone ai server dei data center, non tutti verranno aggiornati. Se c'è un modo per il tracollo di essere abusato e incatenato in qualcos'altro che potrebbe degenerare privilegi o altri tipi di attacchi, potrebbe essere usato per colpire intere reti se si dispone anche di alcuni dispositivi privi di patch.

Essere in grado di spiare la memoria del kernel sembra un grosso problema e anche se la maggior parte delle cose viene riparata, sembra che anche alcuni sistemi senza patch possano compromettere qualsiasi altra cosa sulla rete. Sembra che questo problema peggiori e le patch che degradano le prestazioni non saranno le peggiori.

    
posta A. C. A. C. 05.01.2018 - 22:31
fonte

3 risposte

6

Wannacry era un attacco remoto: un utente malintenzionato poteva puntare il suo programma di sfruttamento su un altro computer attraverso la rete e infettarlo, e fare in modo che quel computer infetto attaccasse gli altri a sua volta.

Meltdown e Spectre sono entrambi attacchi locali: un utente malintenzionato necessita dell'autorizzazione per eseguire il codice sul computer di destinazione per eseguire l'attacco. Inoltre, entrambi sono attacchi "di sola lettura": consentono a un utente malintenzionato di leggere i dati protetti in altro modo, ma non consentono a un utente malintenzionato di modificare tali dati.

Spectre ha il problema aggiuntivo di richiedere una messa a punto precisa della CPU, del sistema operativo e del programma attaccato: ad esempio, un attacco stile Spectre per recuperare i certificati SSL da Apache 2.4.10-10 + deb8u11 su Debian Wheezy su Il Core i5-8600K potrebbe non essere in grado di addestrare male il predittore di ramo su un Ryzen 5-1600, cercherà nel posto sbagliato per Apache 2.4.28 su Gentoo su un Core i5-8600K, e sarà completamente perso quando si tenta di attacca Nginx su Fedora 26 su una Via C7.

L'unica vera minaccia per attacchi su larga scala è rappresentata dagli attacchi stile Spectre sui browser web. Ad esempio, tutte le copie di Firefox 57 su Windows sono identiche, quindi un utente malintenzionato che inserisce Javascript in un server di annunci potrebbe raggiungere la sandbox JavaScript e raccogliere le password del browser con un ragionevole successo.

(Per inciso, i router e la maggior parte degli smartphone non sono vulnerabili e tendono a utilizzare CPU ARM economiche e di fascia bassa, che sono troppo primitive per essere influenzate da Spectre o Meltdown.)

    
risposta data 05.01.2018 - 22:54
fonte
2

Mark ha toccato la difficoltà di eseguire questo attacco, in particolare su scala organizzativa. Richiede la conoscenza del sistema da attaccare, l'abilità da eseguire e il tempo di continuare a eseguire l'exploit fino a quando non vengono raccolti dati sensibili. Aggiungerò un altro pezzo importante.

Da Intel

Intel believes these exploits do not have the potential to corrupt, modify or delete data.

Oltre a questo da MalwareBytes

Can I detect if someone has exploited Meltdown or Spectre against me? Probably not. The exploitation does not leave any traces in traditional log files.

Questo suggerisce che se una grande azienda è stata hackerata usando questo exploit, probabilmente non lo sa ancora e forse non lo saprà mai. L'attacco è molto probabile, ma non mi aspetto che faccia succedere il titolo nel modo in cui Wannacry ha.

    
risposta data 05.01.2018 - 23:24
fonte
0

Non credo che sarebbe vantaggioso utilizzare una delle varianti di Spectre o Meltdown come attacco diffuso. Attualmente, perdono solo memoria. Se sei fortunato, potresti essere in grado di scaricare qualcosa come una chiave privata SSH, anche se questo è raro in base alla ricerca corrente.

Inoltre, non è possibile ottenere l'esecuzione di codice in modalità remota da una di queste vulnerabilità. Gli attacchi più diffusi utilizzano gli exploit che otterranno RCE, motivo per cui non vedo Spectre o Meltdown utilizzati su larga scala.

    
risposta data 05.01.2018 - 23:43
fonte

Leggi altre domande sui tag

Evento di filtrare un filtro del modulo dell'account "freemail" Qual è il modo migliore per trovare sottodomini di un dominio?