英特爾芯片安全漏銅一年未修復(fù) 安全工程受質(zhì)疑

　　編者注：2018年，英特爾芯片爆出重大安全漏洞，此后安全漏洞問題此起彼伏。一年后，自由大學(xué)VUSec研究團(tuán)隊披露其漏洞修復(fù)尚且片面。本文作者Andy Greenberg詳述了這一漏洞問題的來龍去脈。

　　在過去的兩年中，諸如Spectre、Meltdown以及這些黑客技術(shù)變體發(fā)起的攻擊已經(jīng)表明了保護(hù)芯片的難度，這些技術(shù)均能欺騙各種處理器，從而嗅探出各類敏感數(shù)據(jù)。像英特爾這樣的芯片霸主爭先恐后地修復(fù)漏洞是一回事，但在一年多的時間里甚至未能對其中任何一個漏洞采取行動，情況就大不一樣了。

　　目前，阿姆斯特丹自由大學(xué)、比利時魯汶大學(xué)、德國亥姆霍茲信息安全中心和奧地利格拉茨科技大學(xué)的研究人員揭示了利用英特爾芯片深層次漏洞的新版黑客技術(shù)。這一新漏洞基于ZombieLoad或RIDL（Rogue In-Flight Data Load縮寫，英特爾采用這一名稱代替MDS）。與Spectre和Meltdown漏洞相似（早在2018年初，格拉茨大學(xué)的一些研究人員就發(fā)現(xiàn)了這些漏洞），新的MDS變體反映了一類漏洞：這些漏洞可能使任何設(shè)法在目標(biāo)計算機(jī)上運行代碼的黑客強(qiáng)迫處理器泄漏敏感數(shù)據(jù)。這類攻擊可能出現(xiàn)在受害者瀏覽器運行的網(wǎng)站Javascript，也可能出現(xiàn)在云服務(wù)器上運行的虛擬機(jī)中。

　　但在這種情況下，研究人員指出，英特爾所遭遇的并非僅僅是一個小漏洞，而可能潛藏巨大的危機(jī)。盡管他們早在2018年9月就針對這些新發(fā)現(xiàn)的MDS變體向英特爾發(fā)出了警告，但這家芯片巨頭卻似乎不以為意，近14個月以來并沒有對該漏洞進(jìn)行修復(fù)。雖然日前英特爾宣布已修補(bǔ)了數(shù)十個漏洞，但研究人員表示，這些修補(bǔ)程序仍不能完全防御MDS攻擊。

所有漏洞修復(fù)程序并未完全啟動

　　英特爾已于5月份修復(fù)了其MDS漏洞。但是自由大學(xué)的研究人員表示，他們之前警告英特爾的漏洞并未完全得到修復(fù)。應(yīng)英特爾的要求，為了防止黑客在這些漏洞成功修復(fù)之前利用這些漏洞，他們一直對此情況緘口不言。自由大學(xué)VUSec團(tuán)隊的研究人員之一Kaveh Razavi表示：“英特爾在5月份發(fā)布的漏洞補(bǔ)丁已經(jīng)被破解，目前完全無法提供防御，對目前最危險的攻擊變體完全沒有效果。”

　　VUSec研究人員表示，實際上，自首次向英特爾披露該漏洞以來，他們就已成功將其打造成一種能夠在幾秒鐘內(nèi)竊取敏感數(shù)據(jù)的黑客技術(shù)，而不是先前認(rèn)為幾小時或幾天。

　　VUSec和格拉茨科技大學(xué)，與由密歇根大學(xué)、阿德萊德大學(xué)、比利時魯汶大學(xué)、伍斯特理工學(xué)院、德國薩爾大學(xué)以及安全公司Cyberus、BitDefender、Qihoo360和甲骨文組成的超級集團(tuán)最早于5月份披露了MDS攻擊，他們指出，這一攻擊利用了英特爾處理器的一個奇怪特性：允許用戶在受害者的電腦處理器上運行代碼，獲取他們本無權(quán)限訪問的敏感數(shù)據(jù)，從而潛在竊取隱私。在某些情況下，英特爾芯片會“推測性地”執(zhí)行命令或訪問計算機(jī)內(nèi)存的一部分，在程序向用戶發(fā)出詢問之前進(jìn)行自主預(yù)測，從而減少芯片反應(yīng)時間。但是在某些情況下，推測性執(zhí)行可能會出現(xiàn)訪問內(nèi)存中無效位置的情況，進(jìn)而導(dǎo)致推測性過程中止。發(fā)生這種情況時，處理器就會從緩沖區(qū)中獲取任意數(shù)據(jù)。緩沖區(qū)是芯片的一部分，充當(dāng)諸如處理器和緩存等不同組件之間的“管道”。

　　5月，研究人員曾表示，這種方式不僅可以操縱緩沖區(qū)來獲取敏感數(shù)據(jù)（如加密密鑰或密碼），還可以導(dǎo)致推測性的內(nèi)存訪問中止。最終，黑客就可能通過MDS攻擊從芯片緩沖區(qū)獲取敏感信息。

　　為了修復(fù)此問題，英特爾并沒有選擇在發(fā)生無效內(nèi)存訪問時阻止其處理器從緩沖區(qū)中獲取任意數(shù)據(jù)的解決方式。相反，英特爾更新了芯片中的微碼，以防止出現(xiàn)允許數(shù)據(jù)泄漏的特定情況。但研究人員表示，英特爾采用的這種方式仍無法防御一些漏洞的變體。一種稱為TSX asynchronous abort（TAA）的黑客技術(shù)會誘使處理器使用一種稱為TSX的功能，該功能在與另一個進(jìn)程沖突時會回退到內(nèi)存中的某種“保存點”。隨后，攻擊者可以觸發(fā)該沖突，迫使敏感數(shù)據(jù)從芯片緩沖區(qū)中泄漏出來，這與早期MDS攻擊類似。

　　MDS攻擊的TAA變體極其強(qiáng)大。5月份，英特爾試圖淡化MDS的漏洞，部分原因是當(dāng)時技術(shù)人員認(rèn)為一次成功的攻擊至少需要花費幾天的時間。但VUSec的研究人員Jonas Theis發(fā)現(xiàn)了一種使用TAA欺騙目標(biāo)計算機(jī)的方法，可以在短短30秒內(nèi)獲取管理員哈希密碼。

　　黑客仍然必須破解哈希才能獲得可用的密碼。VUSec的研究員Cristiano Giuffrida表示：“但這仍然代表著英特爾必須采取嚴(yán)格的監(jiān)督。英特爾表示這類MDS攻擊很難加以利用，但我們完全可以用最強(qiáng)大的漏洞變體反駁這一點。”

補(bǔ)丁修復(fù)

　　英特爾和致力于MDS漏洞的研究人員在第一次合作中就遇到了麻煩。英特爾向報告其產(chǎn)品漏洞的黑客提供高達(dá)10萬美元的“漏洞賞金”。而當(dāng)VUSec研究人員在2018年9月向英特爾發(fā)出有關(guān)MDS攻擊的預(yù)警時，英特爾只向他們提供了4萬美元，隨后提出了價值8萬美元的“禮物”，研究人員拒絕了這筆資金，并且他們認(rèn)為英特爾正在想方設(shè)法弱化錯誤的嚴(yán)重性。最終，英特爾向他們支付了全部10萬美元的賞金。

　　今年5月，VUSec團(tuán)隊再一次向英特爾發(fā)出警告稱，當(dāng)時公司方面所做的補(bǔ)丁修復(fù)仍有缺陷。英特爾發(fā)布的補(bǔ)丁不僅無法防御TAA攻擊，而且能清除緩沖區(qū)敏感數(shù)據(jù)的補(bǔ)丁可以被輕而易舉地繞開。格拉茨科技大學(xué)的研究人員稱，早在5月份之前，他們就已經(jīng)針對這兩個問題向英特爾發(fā)出預(yù)警。研究員Michael Schwarz表示：“他們發(fā)布的修復(fù)補(bǔ)丁使攻擊變得困難，但并不能有效阻止攻擊。”

　　截至目前，研究人員表示仍然不能完全確定英特爾近日發(fā)布的全面微代碼更新是否能夠完全解決那些長期存在的問題。VUSec團(tuán)隊表示，英特爾目前已經(jīng)能夠阻止某些緩沖區(qū)組件獲取敏感數(shù)據(jù)，但不是全部。

　　英特爾在一份聲明中承認(rèn)，該修復(fù)程序的確尚未完成。本周二，這家芯片制造商在博客中表示：“我們認(rèn)為，TAA和MDS的防御措施將大大減少潛在的攻擊。但是，在漏洞披露前不久，我們證實仍然有可能使用這些技術(shù)通過旁門左道竊取一些數(shù)據(jù)，這一隱患也會在后續(xù)的微代碼更新中加以解決。我們不斷改善解決此類問題的可用技術(shù)，并對與英特爾合作的學(xué)術(shù)研究人員表示感謝。”

　　當(dāng)VUSec研究人員告知英特爾補(bǔ)丁中存在的這些問題時，該公司再次要求他們推遲披露這些問題。但這次，研究人員拒絕了這一請求。

　　Giuffrida說：“我們清楚地知道這一類問題非常棘手，但是我們對英特爾感到非常失望。我們對整個過程的抱怨是由于所謂的安全工程實際上并不可靠。我們認(rèn)為，他們的修復(fù)補(bǔ)丁一次只能針對一種漏洞變體，但無法起到斬草除根的效果。”

　　在經(jīng)歷了微體系變體攻擊兩年后，英特爾的硅芯片再一次遭受重創(chuàng)。這是一個有力的暗示，在未來，英特爾或許還會面臨更多的類似挑戰(zhàn)。