Только недавно мы написали про подобную SPECTRE уязвимость в процессорах на базе архитектуры ARM. На прошлой неделе вышла новая исследовательская работа, которая описывает еще одну атаку на процессоры Intel и AMD. Как в SPECTRE и подобных атаках, в Hertzbleed используется не то чтобы баг, а скорее обычная функциональность процессоров. В данном случае это система динамической регулировки частоты и напряжения процессора в зависимости от нагрузки. Отсюда и название исследования.

Если совсем коротко, в работе показан метод извлечения секретов (конкретно — ключей шифрования) путем манипуляции системой регулировки частоты процессора. Создавая условия для изменения частоты, а соответственно и скорости обработки инструкций при выполнении криптографической функции, исследователи смогли организовать утечку данных по стороннему каналу. Таким образом, это аппаратная атака, схожая по своей природе на классический анализ данных по сторонним каналам непосредственно «на железе». Типичным примером классической атаки является анализ флуктуаций потребляемой микросхемой энергии. Но в случае с Hertzbleed атаку теоретически можно провести и удаленно, так как метод наблюдения за выполнением инструкций встроен в сам процессор.

На прошлой неделе исследователи из США обнародовали (сайт проекта, научная работа) детали аппаратной уязвимости в микропроцессорах на базе архитектуры ARM. Используя методы, впервые показанные для атаки SPECTRE в 2018 году, исследователи смогли обойти важный механизм защиты, известный как Pointer Authentication. Атака, получившая название PACMAN, была смоделирована на устройстве с процессором Apple M1.

Система проверки указателей была впервые представлена в архитектуре ARMv8.3 в 2017 году. Она серьезно затрудняет эксплуатацию уязвимостей, приводящих к повреждению содержимого памяти. Для указателей генерируется так называемый Pointer Authentication Code, криптографический хэш, который делает практически невозможной их модификацию: если код аутентификации неверный, выполнение программы прекращается. Соответственно, становится значительно сложнее эксплуатировать ошибку в коде и инициировать выполнение произвольного кода по указанному атакующим адресу. Исследователи из института MIT нашли способ подбора «правильного» кода аутентификации, пользуясь возможностями спекулятивного выполнения инструкций.

Важной новостью прошлой недели стало обнародование информации об уязвимости нулевого дня в подсистеме Microsoft Support Diagnostic Protocol в ОС Windows. Уязвимость, получившая идентификатор CVE-2022-30190 и неофициальное название Follina, позволяет выполнить произвольный код с привилегиями пользователя путем обращения к MSDT. На момент подготовки материала для уязвимости нет патча, хотя можно временно решить проблему, полностью отключив обработку обращений к протоколу MSDT в системе. Подвержены все поддерживаемые версии Windows начиная с 8.1 и Server 2008.

По сообщениям ряда исследователей, компания Microsoft была уведомлена о наличии уязвимости, а также о факте ее активной эксплуатации, еще в апреле этого года. Изначально в компании недооценили опасность проблемы, посчитав, что без ввода пароля переданный MSDT произвольный код не будет выполнен. Однако впоследствии выяснилось, что пользовательское подтверждение не требуется. Более того, вероятен сценарий атаки типа zero-click, когда вредоносный код выполняется во время предварительного просмотра зараженного документа в Проводнике Windows.

На прошлой неделе разработчики клиента для веб-конференций Zoom закрыли серьезную уязвимость, которая при некоторых обстоятельствах могла приводить к выполнению произвольного кода. Уязвимость получила идентификатор CVE-2022-22787, ее особенности кратко описаны в статье издания The Register и в бюллетене компании Zoom. Обнаружил проблему эксперт из команды Google Project Zero, и вот их подробный отчет представляет большой интерес.

Исследователь Иван Фратрич (Ivan Fratric) по сути смог построить атаку на далеко не самой очевидной основе. Для пересылки сообщений в Zoom используется собственная реализация открытого протокола XMPP. Проблема заключалась в том, что код, отвечающий за разбор содержимого сообщений в формате XML, различается на сервере и на клиенте. Минимальные различия в парсинге удалось превратить в полноценную атаку, которая при этом не требует никаких действий от жертвы, если передача сообщений от атакующего в принципе разрешена.

Исследователи «Лаборатории Касперского» обнаружили свежую вредоносную атаку, использующую нетривиальный способ скрыть ключевой вредоносный код, записывая его в логи Windows. Подробный разбор атаки опубликован здесь, а еще подробнее она описана автором исследования в этом видео. Таргетированная атака была обнаружена в феврале 2022 года. Помимо попыток спрятать вредоносный код в логах, организаторы атаки использовали множество систем обфускации, которые подробно описаны в отчете.

Самая ранняя атака с использованием этого достаточно уникального вредоносного кода была зафиксирована в сентябре 2021 года. Организаторы, помимо собственных инструментов, также использовали программы с открытым исходным кодом и коммерческое ПО, такое как CobaltStrike. В отчете приводится конкретный сценарий первоначальной атаки: сотрудника компании уговаривают скачать архив в формате .rar с публичного хостинга файлов и запустить содержимое.