企业的崩溃和幽灵为企业大量交易

2021-10-10 12:46:43来源:

现在微处理器利用兼任兼议员公开,安全专家认为恶意演员将迅速将它们纳入他们的网络攻击库,并在没有时间延迟进入企业延迟采取行动。

根据安全公司McAfee的研究人员,这些利用对恶意群体或人员具有独特的吸引力,因为攻击表面几乎是前所未有的,攻击载体相对较新,并且影响 - 特权升级和高度敏感记忆泄漏 - 是有害的。

企业最有可能受到影响的是,在利用中,攻击者可以更容易获得域管理员或其他高价值凭据。漏洞利用还可以允许攻击者构建内核内存布局的地图,然后可以在另一个攻击中使用。

ectdown是一种英特尔处理器的特定漏洞,允许用户进程通过基于内核存储器的非法引用的内容在位置中创建高速缓存加载来推断内核存储器的内容,从而泄漏内容。

然而,幽灵不是制造商特定的,并且几乎所有现代处理器都有缺陷。它使用条件逻辑来训练系统以错误地预测应用程序行为。这使系统致力于破坏过程隔离,临时执行创建可观察效果的指令,构成隐蔽信道。

根据Forrester的主要分析师Jeff Pollard的说法,芯片漏洞突出了企业安全和风险专业人员被指控捍卫的攻击面的复杂性。

“企业安全团队需要优先考虑修补程序的测试和部署,或者风险留下开放的攻击者利用。这就是为什么我们将零信任作为网络安全的基本概念。您的硬件不安全,您的软件不安全,您的安全产品不安全,“他说。

好消息是ectdown可以使用软件更新来固定。信息专员办公室是一家领先的声誉,在所有部门提供的企业申请,尽快适用于操作系统软件的安全更新,以减轻熔化漏洞利用。

英特尔接受了对Linux的操作系统贡献者的帮助,以及Microsoft和Apple开发用于Linux,Windows和Mac OS的Mettown的操作系统级修复。

由于任何补丁或更新的性质,McAfee高级威胁研究(ATR)团队建议企业首先对非关键系统进行手动更新,以确保与涉及低级操作系统功能的潜在使用的软件兼容。

根据F-Secure Labs的主要研究人员JarnoNiemelä的巨大威胁是由ectdown提供的内存访问,这影响了自1995年以来的每一个Intel处理器,除Itanium和Itanium外原子。

在崩溃之前,Niemelä表示,攻击者需要获得系统级访问,以便使用凭借凭借凭借凭借Mimikatz。“但现在,随着崩溃,可以在没有特权升级的情况下完成此类操作,这有助于攻击者。以前,攻击者依赖于当地漏洞,允许特权升级,“他每周告诉计算机。

ectown还使一些其他攻击更危险,例如Rowhammer,这是通过执行特定的存储器操作序列来基于存储器中的翻转位,并且通常用于特权升级漏洞。

在崩溃之前,Niemelä表示,Rowhammer的有效性受到攻击者无法看到临界位在内核内存中的位置,但现在只要系统没有修补,攻击者就可以看到需要操作的内容。

与企业安全有关的另一个问题是ectown可能会使攻击者可以利用以前通过内核地址空间布局随机化(ASLR)来利用以前减轻的漏洞。


Forrester Research建议企业:

修补程序诸如VMware ESXi.expect固件,以通过制造商释放以解决底层CPU Microcode.Patch云工作负载如果它们正在运行基础架构(IAAS).discover技术合作伙伴的补丁级别状态。裸属金属服务器不能执行任意代码。每周划分监测工具的优势,以确保适当的情境感知水平。

虽然云供应商已经采取了措施补丁底层基础设施,但Forrester表示企业也必须修补所有虚拟机(VM)和容器。但是,平台 - AS-Service(PAAS)和软件服务(SAAS)系统不应要求任何客户干预。

PaaS和SaaS提供商应该为客户安装补丁,但英国的国家网络安全中心(NCSC)建议,如果在任何疑问,企业应该检查他们的服务提供商了解问题并安装修复。

由于崩溃违反了界限开发人员和安全专业人士多年来依赖于保持数据安全,Forrester警告说,在没有修补系统的情况下,所有数据都存在风险。

需要太长的第三方更新系统将使企业和客户信息有风险,警告Forrester,敦促企业合作和合作,以确保合作伙伴认真对待这一威胁。

Forrester表示,不通过限制管理人员的访问来实现基本卫生的企业已经将自己的风险暴露于不必要的风险,警告攻击裸机服务器的可能攻击是通过开发外部服务的漏洞。“现在是在补救其他软件漏洞中努力努力的时间,”Forrester说。

Microsoft已发布PowerShell脚本,Linux包含命令,以确定处理器是否容易陷入ectown。在这些技术被纳入漏洞管理和基础架构监控工具之前,Forrester表示使用可用的脚本,命令可能是确定修补后初始风险和剩余曝光的唯一方法。

根据Forrester的说法,幽灵无法使用软件更新来解决,这意味着它是企业的一个更大的问题。

幽灵只能使用微码更新来缓解,但是固定幽灵永久性需要更换受影响的处理器。但是,坏消息是目前没有任何硬件,没有缺陷替换受影响的处理器。

鉴于新的处理器和架构可能需要五到10年才能达到市场,Forrester表示牺牲微码修复的性能是最好的选择。

然而,鉴于通过设备制造商分发这些修复程序的复杂性,分析师表示企业应该计划使用其他技术来保护来自未应用修复的用户和公司的数据。


除了将修复程序应用于微码外,企业应该:

重新编译的应用程序内置的rootpoline由rogleto隔离间接分支从投机执行中引入的标准指令。由于应用程序性能问题或与微代码补丁相关的其他问题可能存在尖峰,因此可能存在飙升.Proiritise应用程序与映射相关的软件更新,因为它们被释放。

云提供商正在采取抵消熔融和幽灵的步骤主要涉及更新淘汰技术堆栈的服务运行。但是,Forrester指出,基础设施和运营团队需要更新在其顶部运行的所有虚拟机和容器。

若要谈到内部内部工作负载时,Forrester警告说,企业将对整个堆栈负责,包括操作系统,底层管理程序和固件。企业可能还需要更新具有自己CPU的管理接口,从而为SYSADMINS,可靠性管理者和云工程师提供高于正常的工作负载。

在减轻潜在的崩溃和幽灵攻击时,建议企业确定保护云部署的优先顺序。


Forrester建议CIO应该:

制定计划沟通有关芯片漏洞的信息和企业的策略,以修复它们。与首席风险官员(CRO)的工作表达对执行董事会和董事会的业务术语的影响。欧洲基础设施和运营(I&O)团队,这是一个繁忙的时间。

两者都利用了未经授权各方访问和抵消机器数据的要求。例如,攻击者不再需要在特定设备或操作系统实例上执行代码执行,因为如果攻击者存在于具有未括号的处理器的系统上存在数据泄漏的侧视通道。

因此,企业必须预计其他人正在读取任何关于其系统的信息,只要他们仍然没有被删除。

为了专门针对公司,攻击者必须找到一种方法来强制云基础架构提供商将它们放在系统所在的同一裸机服务器上。根据Forrester的说法,这很难实现,最可能的情况是犯罪分子将开始挖掘他们的云“邻居”的系统来进行货币信息。


除了云环境之外,系统可能处于最高风险:

无法保证的端点不保证运行不受信任的代码。运行无法或不会被修补的操作系统版本的系统版本。防火墙外的系统。

修复熔化和减轻幽灵的软件更新的性质意味着企业计算机系统的性能将受到影响。

多租户系统和依赖内核级系统调用(如数据库)的应用将受到大量影响,但根据Forrester,企业不太可能看到对桌面,笔记本电脑,平板电脑和手机运行用户的影响 - 专注的应用程序,如Web浏览器,消息传递应用程序和文字处理软件。

初始预测是企业可以看到高达30%的性能损失,但到目前为止似乎并不是如此。芯片制造商和软件供应商表示,虽然补丁将在操作系统和虚拟化软件中增加一定程度的开销,具体取决于工作量的类型,它们不会导致普遍的性能问题。

根据Geekwire的说法,这些声明似乎是真实的,因为Geekwire称为John Graham-Cumming,他监督CloudFlare的首席技术官巨大的服务器网络,如令人困惑和幽灵的各种补丁所似乎有“忽略不计“对CloudFlare基础设施的影响。

然而,Geekwire表示熔融和幽灵的修补程序正在影响需要定期从操作系统内核请求数据的应用程序,而幽灵的某些缓解似乎是击中硬件虚拟机的应用程序的性能。

F-Secure的JarnoNiemelä表示,大多数绩效影响都来自用户和内核内存空间之间的过渡,这意味着企业可能需要批量操作并最大限度地减少他们的号码。

“因此,一旦开发人员熟悉新的正常,他们就可以优化他们的代码来最小化影响。此外,下一个版本的编译器很可能包含优化,以帮助避免影响,“他补充道。


Gartner的Nik Simpson表示潜在的性能影响最有可能影响:

异常/输出网络密集型的应用程序,因为这种工作负载将涉及与运行不支持的操作系统的操作系统内核的常量交互。供应商不计划修补靠近最大容量的修补程序。

“这两个选项都将提高整体成本。然而,重要的是强调,对于大多数应用来说,性能影响将可以忽略不计,因此在这一点上没有必要恐慌,但这是需要观看的,“他说。

如果软件供应商没有修补仍在使用的操作系统的旧版本,Gartner副总裁兼管理副总裁的尼克辛普森警告说,这可能会导致企业出现问题。“由于这个问题,可以强迫组织更新到运行支持的操作系统版本的电话和PC,并且可能引入应用程序兼容性问题”,“他说。

除了操作系统修补程序外,Niemelä还建议企业硬化外部攻击表面,这是相当有问题的,因为特别是幽灵攻击也可以从Web浏览器执行的JavaScript运行。


如何减轻性能问题

增加分配给虚拟机的CPU资源.Buy硬件更强大。

由于攻击者可以在从网页运行时可能从用户流程内存中窃取密码,因为Niemelä表示可能是一个好主意,在不使用时培训用户始终关闭Web浏览器。“我必须承认,即使是像我这样的安全意识的人甚至是在留下20左右的20左右的错误时经常在读书中留下20个,以便阅读,”他说。

但是,Apple发布了Mac OS和iOS的更新,以通过Safari浏览器阻止幽灵漏洞,谷歌为Chrome提供了一个Anoxperation补丁。Niemelä表示,企业应尽快使用浏览器更新和补丁。

“对于高价值目标,可能值得考虑使用JavaScript阻止并限制允许在浏览器中运行的脚本,但这往往会破坏现代网站的可用性,”他说。

Niemelä还推荐实现多因素认证(MFA),因此即使攻击者能够窃取密码,如果没有MFA访问,它们就会无用。

“我们必须假设即使使用操作系统修补程序,可能会在某些条件下工作的崩溃和幽灵的剩余风险,但可以通过使用高质量的端点保护解决方案来缓解,因为JavaScript除了JavaScript,都需要代码在一个目标系统中运行,“他说。

SIMPSON表示Enterprise IT团队应制定计划修补虚拟机管理程序和操作系统,以及可能更新浏览器的计划。

“这可能需要在部署之前进行内部测试,以确保没有应用程序兼容性问题并确定任何性能影响的程度。还留出了受影响系统的维护时间,因为修补操作系统和管理程序可能需要停机,“他建议。

总之,云端和幽灵是具有广泛影响的显着漏洞,但总体风险低,因为漏洞的利用需要对系统的本地管理员访问系统,安全倡导者在Alienvault上说。

“如果有人已经损害了您的系统到该级别,则可能有更大的问题才能担心.Google,AWS [Amazon Web Services]和Azure已完全修补,因此应该保护用户。对于内部部署计算机和服务器,建议是使所有系统保持完全修补和最新的系统。

“这是一个重大发现,但在野外没有看到任何已知的实例,并且很少的用户可以在更新和修补他们所有的系统之外,”他每周告诉计算机。

尽管对崩溃和幽灵的潜在影响令人担忧,但McAfee在发现漏洞的发现上施加了积极的旋转。“这是信息安全社区发现和传达的另一个主要安全缺陷,而不是在野外袭击中的发现或泄漏。

“披露是否有消极的方面?最有可能,是的,但整体效果更加全球对软件和硬件安全的关注 - 而且为良好的家伙开发更加强大的系统和架构,为安全计算,“公司的威胁研究团队在博客文章中表示。


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章