Holyzone 力尊信通 SE Club

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 480|回复: 0

Meltdown(熔毁)& Spectre(幽灵)漏洞处理报告-Check Point

[复制链接]

5

主题

6

帖子

41

积分

新手上路

Rank: 1

积分
41
发表于 2018-1-9 10:12:41 | 显示全部楼层 |阅读模式
Meltdown(熔毁)& Spectre(幽灵)漏洞处理报告
---导致密码或敏感数据泄露的超级漏洞
1.        事件背景
Google公司的Project Zero等安全团队披露出的英特尔等处理器芯片存在非常严重的安全漏洞,发布了A级漏洞风险通告,并提醒该漏洞演化为针对云和信息基础设施的A级网络安全灾难。相关漏洞利用了芯片硬件层面执行加速机制的实现缺陷实现侧信道攻击,可以间接通过CPU缓存读取系统内存数据。漏洞Spectre(熔毁)因“融化”了硬件的安全边界而得名,漏洞Spectre(幽灵)因其手段的隐蔽性而得名。
2.        漏洞介绍
Meltdown破坏了位于用户和操作系统之间的基本隔离,此攻击允许程序访问内存,因此其他程序以及操作系统的敏感信息会被窃取。这个漏洞“熔化”了由硬件来实现的安全边界。允许低权限用户级别的应用程序“越界”访问系统级的内存,从而造成数据泄露。
Spectre则是破坏了不同应用程序之间的隔离。问题的根源在于推测执行(speculative execution),这是一种优化技术,处理器会推测在未来有用的数据并执行计算。这种技术的目的在于提前准备好计算结果,当这些数据被需要时可立即使用。在此过程中,英特尔没有很好地将低权限的应用程序与访问内核内存分开,这意味着攻击者可以使用恶意应用程序来获取应该被隔离的私有数据。
针对英特尔处理器涉及到两种攻击方法,分别为Meltdown和Spectre,Meltdown涉及CVE编号CVE-2017-5753和CVE-2017-5715,而Spectre涉及CVE编号CVE-2017-5754。
关于此次漏洞详细信息见如下链接:
•  https://googleprojectzero.blogsp ... mory-with-side.html
•  https://meltdownattack.com/
3.        影响范围:
本次安全事件影响到的范围很广,包括:
处理器芯片:英特尔为主、ARM、AMD,对其他处理器同样可能存在相关风险。
操作系统:Windows、Linux、MacOS、Android
云服务提供商:亚马逊、微软、谷歌、腾讯云、阿里云等
各种私有云基础设施。
桌面用户可能遭遇到结合该机理组合攻击。
4.        对Check Point的影响及应对
由于Check Point设备上执行代码需要管理员专家账号,所以这些针对Check Point设备的特权提升攻击可能性极低,但我们仍需要更新IPS签名库文件,防护利用这些漏洞的攻击。参考Check Point SK:122205
常见疑问解答
Q1:什么是本地特权提升攻击?
A1:它是在本地具有更高特权进行访问或执行代码的一种攻击矢量
Q2:为什么黑客针对此漏洞对Check Point进行的攻击缺少兴趣
A2:Check Point设备底层为加固的GAIA操作系统,系统用户必须经由本地管理员信任。另外,运行任何程序必须具有专家权限,它已是root用户的最高权限,所以攻击难度极大、受影响很小!
Q3:Check Point会提供漏洞补丁吗?
A3:Check Point对该漏洞的补丁正在进行研究和处理,这种攻击矢量在Check Point设备上是低级别的,Check Point将在完全确保不会影响设备性能的情况下发布相关补丁。
Q4:在Check Point沙箱设备仿真中,相关的恶意代码是否会利用这些漏洞?
A4: 不会。在Check Point设备上已经默认关闭了这些漏洞利用
5.        Check Point建议把IPS签名库更新到最新,方法如下:
1)        如安全中心提示,Check Point已经在2018年1月4号发布了针对Meltdown和 Spectre漏洞IPS签名库
2)        更新签名库防护
a)        点击左边菜单Download Updates选项
b)        点击Update Now
c)        输入账号密码,点击OK,开始更新IPS 库
d)        点击左侧菜单Follow Up,把Protection动作改成Prevent,下发策略


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|Holyzone 力尊信通 SE Club  

GMT+8, 2018-9-21 09:02 , Processed in 0.027206 second(s), 23 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表