阿里云專家稱英特爾漏洞史無前例技術危機

    1月5日晚間消息,兩天前,Intel處理器爆出了嚴重的側信道攻擊漏洞,漏洞會導致跨特權的信息泄露。

　　該事件持續發酵。次日,英特爾針對CPU安全漏洞一事發表聲明稱,正與AMD、ARM和軟件廠商合作解決該問題。同時,英特爾表示,其他公司的芯片也存在同樣問題。谷歌、微軟、亞馬遜等科技巨頭針對該事件也紛紛采取應對措施。

　　英特爾在聲明中說：“最近的報道稱該安全問題是由一種‘漏洞’引起的,而且只有英特爾芯片存在問題的說法不正確。基于目前分析,使用不同廠商處理器和操作系統的多種計算設備,都容易受到這類漏洞的攻擊。

　　那么,這種漏洞的影響力到底有多大？阿里云技術專家就此進行了解讀。

　　1、涉事處理器有何背景？

　　此次漏洞主要有兩種攻擊形式,官方命名為Spectre(幽靈)和Meltdown(熔斷)。其中Spectre出現了2種類攻擊變體,而Meltdown有一種,綜合起來就是：

　　變體1: 繞過邊界檢查(CVE-2017-5753)

　　變體2: 分支注入 (CVE-2017-5715)

　　變體3: 越權數據緩存加載(CVE-2017-5754)

　　在正式開講前,先簡單介紹處理器背景知識。

　　現代處理器是通過在流水線各個階段同時執行不同的任務來提高處理能力的。為了讓這個流水線機制更加高效,現代處理器又引入了分支預測和亂序執行機制,從而更高效的進行運算。

　　其中,分支預測主要用于解決在跳轉分支完全確定前,通過預測執行目標地址的代碼來提高執行效率。如果預測失敗,流水線會把預測錯誤的代碼放棄并回滾狀態。

　　而亂序執行則通過將代碼的執行順序打亂來提高平行執行能力。

　　這些處理器優化技術對于現代處理器的性能提升有很大的幫助。但是近期安全研究者發現,現代處理器架構的這些功能可能會導致安全風險,可以被攻擊者利用在特定情況下進行攻擊。產生這些的根本原因是流水線對無效執行狀態的恢復不完整,以及亂序執行時對權限檢查不完整。這里也充分體現了安全設計和性能設計的沖突。

　　此次Intel處理器爆出的側信道攻擊并不是一個新話題。安全研究者在這個方面進行了大量的研究,并發布了很多研究成果。但是這次爆出的問題更容易被利用,并且具有實際的攻擊效果,影響面更大。

　　側信道攻擊的基本實現方法是通過對共享資源的使用狀態來反推出一些敏感信息。

　　現代處理器中的緩存機制是用于減少處理器訪問內存所需平均時間的重要設計。通過緩存機制,處理器會大大節省數據計算時對內存訪問時間。而緩存機制的性能特點同時也被安全研究者用來發起側信道攻擊,通過觀測數據訪問性能來確定數據是否在緩存中,從而反推出一些敏感信息。

　　除此之外還包括了其他處理器共享單元,比如跳轉目標緩存也都可以被用于側信道攻擊。

　　2、漏洞到底有何影響？

　　Spectre漏洞CVE-2017-5753

　　該漏洞主要是通過低特權級別的代碼,調用高特權級別的代碼來實現攻擊。

　　由于為了性能加速,現代處理器會提前做分支預測,其后在流水線上誤判的預先執行最終并不會實際執行。但,也是由于性能的原因,流水線執行結束后并沒有對所有預判執行的現場做完全修復,從而導致在緩存中會留下執行的痕跡,進一步會導致低特權惡意軟件可能通過分支預測在緩存中留下的痕跡,在特定代碼情況下猜測出高特權的數據。

　　這個漏洞需要特定的代碼模式才能夠觸發,所以攻擊者必須要在高特權級別的代碼,比如操作系統內核,虛擬化底層中找到特定模式的代碼用于利用,相對CVE-2017-5715而言,利用難度小。

　　Spectre漏洞CVE-2017-5715

　　對于漏洞CVE-2017-5753,攻擊者需要找到已經存在的特定代碼模式來展開攻擊。如果沒有現成的攻擊者用于展開攻擊的代碼模式,攻擊者需要考慮如何制造出這些便于攻擊的代碼模式。漏洞CVE-2017-5715就是針對這個思路展開的。

　　這里的攻擊目標是分支目標緩存。這是一個處理器內部用于加速分支跳轉的內部數據結構,有特定的目標預測算法。通過對這個算法的操縱可以讓攻擊者預填入惡意的跳轉地址,在流水線上,當處理器到正確地址之前,讓處理器執行特定的目標代碼。當然,隨著流水線的最后確認,這些執行也都會被廢棄,但是對于緩存的影響依然保留。

　　Google在攻擊細節中給出了反推出KVM的模塊地址思路,但是這個攻擊對處理器的架構以及內部間接分支預測的算法有很強的依賴。相對而言,這個漏洞是最難利用的,需要一定的先決條件以及很多處理器內部信息。

　　Meltdown漏洞CVE-2017-5754

　　應該說這三個漏洞中,Meltdown是最容易利用也是影響最大的。

　　本質上這個漏洞是因為處理器在亂序執行時,沒有對跨特權的數據訪問進行限制。比如當一個用戶態的程序訪問內核數據時,最終處理器是會觸發頁訪問異常的,但是問題出在,當流水線上執行時,對于觸發的頁異常進行了抑制,在處理器真正觸發頁異常前,相應的代碼還是會執行,導致緩存依舊會發生變化。

　　由于此隱患涉及過去10年間Intel的絕大部分CPU型號,所以此次安全漏洞引發的是一次史無前例的技術危機。為了安全起見,市面上所有的服務器、個人電腦、手機等都需要升級應對。但同時也要看到這個漏洞有一定的門檻,同時考慮到升級了cpu和操作系統之后伴隨的性能下降。不同用戶可以評估自己的情況來做出決定。

　　值得一提的是,在這個過程中,所有的云廠商沒有例外地屬于響應最迅速的群體。一方面是要為平臺上的客戶安全負責,另一方面這些平臺聚集了大量的專業安全工程師。因此可以預見的是,云平臺應該也是全行業中第一批能修復這個問題的群體。

　　據悉,阿里云在去年年底與Intel同步關鍵安全信息,基于內核領域的多年深耕,雙方持續就修復方案進行聯合驗證。截至此文發布,阿里云暫未受到確定的影響,也沒有任何信息表明已有客戶因此受到攻擊。

　　考慮到此次事件的影響面很大,還伴隨著潛在的性能影響,團隊已經啟動了修復工作,正在慎重部署熱升級方案中,正常情況下該方案不會對客戶業務帶來影響。已知有部分場景下不支持熱升級方案。與之相關的客戶我們也會另行提前通知。