Được đặt tên là CacheOut hay còn gọi là Lấy mẫu dữ liệu L1 (L1DES) và được gán mã CVE-2020-0549, cuộc tấn công vi kiến trúc mới cho phép kẻ tấn công chọn dữ liệu để đánh cắp từ L1 Cache của CPU. Không giống như các cuộc tấn công MDS, kẻ tấn công phải đợi cho đến lúc dữ liệu cần tìm xuất hiện.
Theo một nhóm các nhà nghiên cứu, các cuộc tấn công thực thi suy đoán mới được phát hiện có thể rò rỉ thông tin qua nhiều ranh giới bảo mật, bao gồm cả các siêu luồng, máy ảo và tiến trình, giữa vùng nhớ của người dùng và nhân hệ điều hành, từ các vùng bảo mật SGX.
Chính xác hơn, cuộc tấn công cho phép một chương trình độc hại buộc dữ liệu của nạn nhân ra khỏi L1-D Cache, chuyển vào bộ đệm bên ngoài sau khi hệ điều hành xóa chúng đi, sau đó làm lộ nội dung của bộ đệm đó và lấy dữ liệu của nạn nhân.
Lược đồ khái quát thể hiện cách lợi dụng lỗ hổng phần cứng TSX Asynchronous Abort để lấy dữ liệu qua các bộ đệm Fill Buffer
Các nhà nghiên cứu tại các trường đại học Adelaide và Michigan đã chứng minh: Tính hiệu quả của CacheOut trong việc vi phạm quy trình cách ly bằng cách khôi phục các khóa AES và bản rõ từ một nạn nhân sử dụng OpenSSL; Khai thác thực tế để khử ngẫu nhiên hoàn toàn ASLR kernel của Linux và để phục hồi các giá trị canary bí mật của ngăn xếp từ kernel Linux; CacheOut vi phạm sự cô lập giữa hai máy ảo chạy trên cùng một lõi vật lý hiệu quả như thế nào?; CacheOut có thể được sử dụng như thế nào để xâm phạm vùng SGX bảo mật bằng cách đọc nội dung của một vùng an toàn? và một số CPU Intel chống Meltdown mới nhất vẫn dễ bị tổn thương như thế nào, dù đã áp dụng tất cả các bản vá và biện pháp phòng tránh mới nhất?.
Bên cạnh đó, theo các nhà nghiên cứu, hiện tại các sản phẩm Antivirus không thể phát hiện và chặn các cuộc tấn công CacheOut và vì việc khai thác không để lại bất kỳ dấu vết nào trong tệp nhật ký truyền thống, nên rất khó để xác định liệu ai đó đã khai thác lỗ hổng hay chưa. Cần lưu ý rằng lỗ hổng CacheOut không thể được khai thác từ xa từ trình duyệt web và cũng không ảnh hưởng đến bộ xử lý AMD.
Dựa trên những phát hiện của các nhà nghiên cứu, Intel đã phát hành bản cập nhật vi mã mới cho các bộ xử lý bị ảnh hưởng bằng cách tắt phần mở rộng bộ nhớ giao dịch (TSX) trên CPU.
Các nhà nghiên cứu cho biết: "Bản cập nhật có thể giảm thiểu những vấn đề này bằng cách hy sinh các tính năng và/ hoặc hiệu năng. Chúng tôi hy vọng rằng đâu đó trong tương lai, Intel sẽ phát hành bộ xử lý với các bản sửa lỗi bằng phần cứng để khắc phục vấn đề này".
Hầu hết các nhà cung cấp dịch vụ điện toán đám mây đã triển khai các bản vá cho cơ sở hạ tầng của họ, những người dùng khác cũng có thể giảm thiểu rò rỉ luồng chéo bằng cách vô hiệu hóa siêu phân luồng của Intel cho các hệ thống mà tính bảo mật quan trọng hơn hiệu năng. Hơn nữa, cả Intel và các nhà nghiên cứu đều không công bố mã khai thác, điều này cho thấy không có mối đe dọa trực tiếp và tức thời.
Nguyễn Anh Tuấn
The Hacker News
15:52 | 18/05/2015
10:00 | 06/04/2020
08:00 | 26/11/2020
16:00 | 17/03/2020
22:00 | 26/01/2020
14:00 | 01/03/2024
Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.
15:00 | 26/01/2024
Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.
09:00 | 08/12/2023
Để bổ sung thêm những tính năng dành cho các nền tảng ứng dụng nhắn tin hiện nay, các nhà phát triển bên thứ ba đã đưa ra các bản mod (phiên bản sửa đổi của ứng dụng không chính thức) cung cấp các tính năng mới bên cạnh những nâng cấp về mặt giao diện. Tuy nhiên, một số mod này có thể chứa phần mềm độc hại cùng với các cải tiến hợp pháp. Một trường hợp điển hình đã xảy ra vào năm ngoái khi các nhà nghiên cứu Kaspersky phát hiện ra Trojan Triada bên trong bản mod WhatsApp. Gần đây, các nhà nghiên cứu đã phát hiện một bản mod Telegram có module gián điệp được nhúng và phân phối thông qua Google Play. Câu chuyện tương tự hiện tại xảy ra với WhatsApp, khi một số bản mod trước đây đã được phát hiện có chứa module gián điệp có tên là Trojan-Spy.AndroidOS.CanesSpy.
07:00 | 03/11/2023
Hiện nay, ngày càng có nhiều nhà phát triển phần mềm độc hại sử dụng kết hợp đa ngôn ngữ lập trình để vượt qua các hệ thống bảo mật phát hiện nâng cao. Trong đó, phần mềm độc hại Node.js Lu0Bot là minh chứng nổi bật cho xu hướng này. Bằng cách nhắm mục tiêu vào môi trường runtime - thường được sử dụng trong các ứng dụng web hiện đại và sử dụng tính năng che giấu nhiều lớp, Lu0Bot là mối đe dọa nghiêm trọng đối với các tổ chức và cá nhân. Trong phần I của bài viết sẽ khám phá kiến trúc của phần mềm độc hại này.
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
08:00 | 17/04/2024