CCERT月報：CPU部分補丁程序存缺陷 或導致系統異常

近期通用CPU處理器內核被爆出多個安全漏洞，這些漏洞允許用戶繞過晶元及系統的安全設置去讀取任意內核中的數據，由於是CPU層級的漏洞，這些漏洞理論上影響所有使用通用CPU的操作系統和軟體。對於物理單機操作系統來說，利用該漏洞低許可權的用戶可以獲取高許可權的系統內核數據；對於雲主機（虛擬主機）的影響是利用該漏洞任意一個虛擬主機用戶都可以繞過虛擬軟體的限制讀取同平台下其他虛擬主機中的數據；對於軟體的影響則是允許繞過安全限制讀取同操作系統下其他任意軟體的內存數據，如利用惡意的瀏覽器腳本讀取其他網站的Cookie信息等。目前各硬體廠商、系統廠商和軟體廠商都在為相關漏洞發布補丁程序，相關漏洞的影響可能會持續很長一段時間，需要用戶持續關注。

安全投訴事件統計

隨著各學校對校園出口限制的逐步解封，網站及信息系統的安全問題數量有增加趨勢。

病毒與木馬

近期沒有新增影響特別廣泛的蠕蟲或木馬病毒。

近期新增嚴重漏洞評述

1、微軟1月的例行安全更新中修補了56個安全漏洞，包括嚴重等級的16個，重要等級39個，一般等級1個。涉及Windows系統，IE瀏覽器、 Edge瀏覽器，Office軟體及ASP.NET。

這些漏洞中需要關注的是Office軟體的一個高危漏洞（CVE-2018-0802），漏洞存在於Office軟體的公式編輯器中，攻擊者可以構造包含惡意攻擊代碼的文檔引誘用戶點擊，一旦用戶打開了這個文檔就會以當前用戶的許可權執行任意代碼。目前互聯網上已經檢測到利用該漏洞的惡意程序，用戶應該使用系統的自動更新功能來及時安裝相應的補丁程序。除了例行的安全修補外，微軟也針對CPU的通用漏洞發布了專門的補丁更新，Win10用戶可以使用自動更新或是下載更新包安裝，而Win7/8用戶則需要通過自動更新功能來進行修補。

2、現代通用處理器（CPU）的運作機制中存在兩個用於加速執行的特性，推測執行（Speculative Execution）和間接分支預測（Indirect Branch Prediction）。推測性執行是一種優化技術，CPU會基於猜測或概率的角度，在當前的指令或分支還未執行完成前就開始執行可能會被執行的指令或分支，如果猜測正確，則直接繼續執行，以此加速CPU的執行進度。如果猜測失敗，則取消該操作進行回滾，回滾的過程並不影響CPU的處理速度。這種預測執行的方式能夠有效提高CPU的執行速度，但是也帶來了安全風險。儘管CPU架構狀態會被快速回滾，但是TLB和緩存狀態並不會很快回滾，攻擊者通過尋找或構建一些指令就可以在CPU回滾的時間窗口裡進行一系列的越權訪問，造成內核中的數據泄漏。目前類似的攻擊方式有三種：

a）邊界檢查繞過（CVE-2017-5753）——通過污染分支預測，來繞過kernel或hypervisor的內存對象邊界檢測。比如，攻擊者可以對高權級的代碼段，或虛擬環境中hypercall，通過構造的惡意代碼來觸發有越界的數據下標，造成越界訪問。

b）分支目標註入（CVE-2017-5715）——污染分支預測。抽象模型比較好的代碼往往帶有間接函數指針調用的情況，CPU在處理時需要會進行必要的內存訪問，這個過程有點慢，所以CPU會預測分支。攻擊者可以通過類似的ROP的方式來進行信息泄露。

c）流氓數據載入（CVE-2017-5754）——部分CPU上，為了速度並不是每次都對指令作許可權檢查的，檢查的條件存在一定的缺陷。

其中CVE-2017-5754漏洞可以用來破壞用戶程序和操作系統之間的基本隔離，允許攻擊者未授權訪問其他程序和操作系統的內存，獲取其他程序和操作系統的敏感信息，被稱為Meltdown漏洞。CVE-2017-5715和CVE-2017-5753可以用來破壞不同應用程序之間的隔離，允許攻擊者讀取其他程序的敏感數據，被稱為Spectre漏洞。利用Meltdown漏洞攻擊者可以獲取操作系統底層核心數據。在虛擬化環境下，可以繞過安全限制讀取其他操作系統的信息。利用Spectre漏洞，攻擊者可以獲取其他程序的敏感信息，例如通過瀏覽器腳本獲取用戶的cookie信息等。目前相關漏洞涉事的硬體廠商、系統廠商和軟體廠商均針對上述漏洞發布了安全公告和補丁程序，用戶應該隨時關注廠商的動態，及時更新相應的補丁程序。

3、1月16日Oracle公司發布了今年第一季度的安全更新，修復了其產品線中存在的238個安全漏洞，包括：Oracle資料庫（5個）、MySQL資料庫（25個）、電子商務套裝軟體OracleE-Business Suite（7個）、中間件產品Fusion Middleware（27個）、OracleSiebel託管型CRM軟體（2個）；JD Edwards產品（2個）、PeopleSoft產品（15個）；Communications Applications（10個）、Constructionand Engineering Suite（1個）、FinancialServices Applications（34個）、Health Sciences Applications（7個）、HospitalityApplications（21個）、Hyperion（4個）、Java SE（21個）、Retail Applications（12個）、SunSystems Products Suite（13個）、Supply Chain Products Suite（3個）和Virtualization（14個）。這238個漏洞中有123個屬於高危漏洞，有216個可以遠程利用。需要特別關注的是，25個Mysql資料庫漏洞中有6個允許攻擊者無需驗證就可以遠程連接Mysql資料庫。建議相關的管理員儘快安裝相應的補丁程序。

安全提示

目前各廠商都針對CPU漏洞發布了自己的補丁程序，但是部分補丁程序存在缺陷，可能導致系統異常或者系統性能下降，包括：

1、Intel針對CPU相關的漏洞發布的第一版補丁程序存在缺陷，一些早期的型號的CPU安裝了相關補丁後可能會導致系統反覆重啟，目前intel廠商已經要求電腦生產商門暫停安裝該補丁，新的補丁即將發布，建議用戶隨時關注廠商的動態。

2、微軟官方信息顯示，Spectre Varient1（CVE-2017-5753）和Meltdown Varient 2（CVE-2017-5754）漏洞補丁修復對CPU性能影響較小。Spectre Varient2（CVE-2017-5755）漏洞補丁導致CPU性能損失的主要原因是對底層的指令集做了修改，由於Window 7/8系統在架構時使用了過多的受影響指令，可能會對系統的運行速度帶來影響。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！