Исследователи обнаружили новую вариацию атаки Spectre

Исследователи обнаружили новую вариацию атаки Spectre — SgxPectre

Олег Иванов 05 Марта 2018 - 17:19

Домашние пользователи

...

Группа исследователей обнаружила новую вариацию атаки Spectre, получившую имя SgxPectre, которая позволяет выявить содержимое анклава SGX. Intel Software Guard eXtensions (SGX) — это технология для разработчиков приложений, которая позволяет защищать выбранный код и данные от раскрытия или модификации.

Анклавы Intel SGX представляют собой защищенные области, в которых выполняется код приложения. Напомним, что атака Spectre позволяет приложениям режима пользователя (user-mode) извлекать информацию из других процессов, работающих в одной и той же системе.

С помощью пресловутых брешей Meltdown и Spectre злоумышленник не сможет извлечь данные из анклавов SGX, однако обнаруженная экспертами атака SgxPectre использует ошибки в процессоре Intel для раскрытия содержимого анклава SGX.

«Атаки SGXPECTRE используют недавно обнаруженные ошибки ЦП для получения конфиденциальной информацией из анклавов SGX. То есть злоумышленник может получить доступ к информации внутри памяти анклавов, что ставит под сомнение гарантированную конфиденциальность SGX», — пишут специалисты.

По мнению экспертов, почти любая программа может быть уязвима для атаки SgxPectre.

Intel планирует исправить этот баг с выпуском обновлений безопасности, релиз которых состоится 16 марта. Разработчикам необходимо будет обновить свои приложения, используя новую версию SDK.

Специалисты опубликовали proof-of-concept код на GitHub, а также видео, в котором демонстрируется наличие проблемы:

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 11 Сентября 2025 - 09:31

Вирусы-вымогатели Вирусы-шифровальщики Целевые атаки Таргетированные атаки Корпорации Государство

Шифровальщик CyberVolk использует сбойный Nonce и губит данные навсегда

Исследователи AhnLab опубликовали подробный разбор нового семейства вымогателей CyberVolk, которое с мая 2024 года активно атакует госучреждения и критическую инфраструктуру. Главная особенность зловреда — невосстановимое шифрование, из-за которого вернуть данные практически невозможно.

По данным специалистов, группировка придерживается пророссийской позиции и выбирает в качестве целей страны, считающиеся «недружественными» к России.

В числе недавних атак — инфраструктурные и научные организации в Японии, Франции и Великобритании. Для связи злоумышленники используют Telegram.

Как работает CyberVolk:

запускается с повышением привилегий до администратора;
пропускает системные каталоги вроде Program Files и ProgramData, чтобы не «положить» Windows;
файлы получают расширение .CyberVolk;
применяется двухуровневое шифрование — сначала AES-256 GCM, затем ChaCha20-Poly1305.

Но тут скрыт главный «сюрприз». Разработчики допустили фатальную ошибку: при расшифровке программа использует неверное значение Nonce. Поскольку правильное значение нигде не сохраняется, даже наличие ключа не помогает. Восстановить файлы математически невозможно.

В конце атаки вымогатель оставляет записку READMENOW.txt и предлагает ввести ключ — всего три попытки. Но даже правильный ключ не сработает: алгоритм изначально «сломанный».

По сути, CyberVolk — это шифровальщик без обратного пути, который превращает данные в мусор.