В Сети появилась первая вредоносная программа, способная использовать уязвимость Spectre, которой подвержено большинство современных компьютеров. Дефект позволяет заглянуть в кэш процессора и прочесть в нем в том числе логины, пароли, номера банковских карт. Опубликованная утилита потенциально опасна для процессоров, выпущенных до 2019 года, уточнили специалисты по информационной безопасности. Вредоносный софт основан на устаревшей программе и его нельзя использовать удаленно, но в будущем могут появиться более актуальные версии, не исключают эксперты.
Опасный Spectrе
В базе данных вредоносных программ VirusTotal появились рабочие эксплойты (программы для использования уязвимостей) для атак на Linux и Windows через уязвимость Spectre, сообщил независимый исследователь информационной безопасности (ИБ) Жульен Вуазин. Эта уязвимость потенциально позволяет локальным приложениям получить доступ к содержимому памяти процессоров. Spectre использует то, что для ускорения работы компьютеры просчитывают несколько сценариев наперед. Когда это происходит, во внутреннюю память процессора (кэш) загружаются различные данные. Уязвимость позволяет заглянуть в кэш и прочесть в нем в том числе логины, пароли, номера банковских карт, объяснил независимый эксперт по ИБ Денис Батранков.
До 2021 года информации об использовании Spectre вне контролируемых тестов не было. Однако находка Жульена Вуазина ставит прежнюю недоступность уязвимости для хакеров под сомнение.
О существовании Spectre ИБ-специалисты узнали в 2018 году. Тогда же стало известно, что уязвимости подвержены практически все процессоры Intel, AMD и ARM, выпущенные до этого времени. После 2018 года вендоры начали защищать свои продукты от Spectre и ему подобным уязвимостям на уровне программного обеспечения. Как правило, работа софта направлена на недопущение предварительных расчетов в критических операциях. Это повышает защищенность против Spectre, но не исключает возможность атаки полностью.
— На 100% защититься от Spectre и уязвимостей, подобных ему, нельзя, — сказал ведущий специалист отдела исследований безопасности операционных систем и аппаратных решений Positive Technologies (РТ) Марк Ермолов.
Жульен Вуазин проверил работоспособность версии эксплойта для Linux. С его помощью он получил содержимое системного файла, в котором хранятся пароли пользователей. Версию для Windows независимый исследователь еще не испытывал.
Как долго эксплойты распространяются по Сети, неизвестно. На VirusTotal они появились в конце февраля, но еще в октябре 2020 года файлы были замечены в закрытых Telegram-каналах. За это время хакеры могли использовать эксплойты в реальных атаках, не исключают некоторые эксперты.
— У спекулятивных уязвимостей вроде Spectre есть особенность: они совсем не шумные, то есть они не делают ничего опасного, специфичного, и за счет этого антивирусам сложно их детектировать. Скорее всего, кто-то применял эксплойт ранее, просто незаметно, — сказал директор блока экспертных сервисов BI.ZONE Евгений Волошин.
Потенциально опасен
Обнаруженные эксплойты основаны на модуле пентестерской (созданной «белыми» хакерами) программы 2018 года. Они угрожают компьютерам с процессором без патча безопасности, выпущенным до 2019 года, на которых Windows и Linux не обновлялись с того же времени, считают эксперты.
— На практике такие системы нередко используются и сейчас, но большинство из них — среди конечных пользователей или в качестве изолированных систем в виде IOT (интернета вещей) и так далее, — уточнил Марк Ермолов.
Все заинтересованные в информационной безопасности компании уже установили необходимые обновления и защитились от влияния эксплойтов, считают в PT. У специалистов «Лаборатории Касперского» (ЛК) другое мнение: по объективным причинам не все организации воспользовались патчами, которые выпустили производители процессоров и разработчики операционных систем.
— Intel, например, своевременно выпустили обновления прошивок для своих процессоров. Но мало кто спешил их ставить, поскольку они оказывали сильное влияние на быстродействие процессора. Ввиду обнаруженных эксплойтов многим, кто пользуется более старыми моделями процессоров, придется пересмотреть это решение, — считает эксперт по кибербезопасности ЛК Борис Ларин.
Пользовательские тесты показывают, что после установки патчей безопасности эффективность процессоров, выпущенных до 2019 года, падает на 2–30%. Чем старее процессор, тем заметнее влияние защиты. Согласно отчету Microsoft, процессоры Intel 2015 года и старше в наибольшей степени подвержены замедлению после обновления. Исходя из этого можно предположить, что пользователи компьютеров на основе этих процессоров наиболее уязвимы.
Часть компьютеров, ноутбуков и серверных центров действительно потенциально уязвимы перед обнаруженным эксплойтом, согласны в BI.ZONE. Но нельзя сказать, о каком количестве устройств речь, поскольку нет информации о распределении используемых процессоров по рынку и статусе обновления операционной системы.
В российском подразделении Microsoft «Известиям» сказали, что для Windows уже выпущен соответствующий патч безопасности. В Intel, AMD и Qualcomm на момент публикации не ответили. Разработчики российской операционной системы «Альт» на основе Linux также не предоставили комментарий.
На практике
Хакеры едва ли используют обнаруженные эксплойты в «боевых» условиях, поскольку они устарели, считают в PT. Кроме того, вредоносной программе нужен локальный доступ к системе, то есть он не может быть запущен удаленно, добавили в компании.
Но в связке с другим эксплойтом удаленный запуск всё же возможен, отметил Борис Ларин. Это связано с дополнительными трудностями, но не мешает использовать программу, указал эксперт. Хакерские атаки такого рода наиболее вероятны в корпоративном сегменте, считает он.
— Ведь информацию, полученную с помощью эксплойтов, можно использовать для дальнейшего распространения в сети организации, — пояснил Борис Ларин.
Несмотря на все сложности и ограничения в использовании найденных эксплойтов, ИБ-специалистам не стоит относиться к Spectre халатно, добавили в BI.ZONE. В будущем могут появиться более актуальные версии вредоносных программ, направленных на эксплуатацию уязвимости, допустили там.