Новая уязвимость в Intel CPU позволяет сливать данные из ядра ОС

Новая уязвимость в Intel CPU позволяет сливать данные из ядра ОС

Новая уязвимость в Intel CPU позволяет сливать данные из ядра ОС

Исследователи из ETH Zurich нашли новую уязвимость в всех современных процессорах Intel — даже в тех, где уже были включены защиты от Spectre. Проблема получила название Branch Privilege Injection и отслеживается под кодом CVE-2024-45332. Да, опять атака через спекулятивное выполнение.

Когда процессор «угадывает», куда прыгнет ветка кода (это делает так называемый branch predictor), он может ошибиться.

Обычно это не страшно — ошибку откатывают. Но если предсказание окажется «успешным», оно выполняется так быстро, что может вмешаться в переход между пользовательским режимом и ядром. Получается, обновление предсказаний ветвлений пересекает границы привилегий.

Это означает, что обычное приложение может подсунуть процессору «приманку», а затем запустить системный вызов — и в этот короткий момент CPU будет выполнять инструкции с уровня ядра, но по сценарию атакующего. Результат — можно слить, например, содержимое /etc/shadow, где хранятся хеши паролей.

Насколько это серьёзно?

Очень. Исследователи продемонстрировали утечку данных из ядра на Ubuntu 24.04, причём со всеми стандартными мерами защиты включёнными. Скорость утечки — до 5.6 КБ/с при 99.8% точности.

 

Затронуты все процессоры Intel начиная с 9-го поколения (Coffee Lake Refresh) и до свежих Raptor Lake. Более старые — не проверялись, но, по словам исследователей, предсказания ветвлений могли прорываться через защиту даже на 7-м поколении (Kaby Lake).

У AMD и Arm такой проблемы нет — у них предсказатели работают синхронно с выполнением инструкций.

Intel уже выпустила микрокодные обновления, устраняющие уязвимость. Производительность падает умеренно:

  • Микрокод — до 2.7% замедления
  • Защитный софт — от 1.6% до 8.3%, в зависимости от CPU

 

Никаких атак в реальной жизни пока не зафиксировано, но Intel советует срочно обновить BIOS/UEFI и операционную систему. А если вы используете уязвимые процессоры в облаке или при работе с критичными данными — отнестись к этому особенно серьёзно.

Где будут детали?

Полное описание атаки ETH Zurich представит на конференции USENIX Security 2025. А Intel, в свою очередь, опубликовала бюллетень и поблагодарила исследователей за сотрудничество.

«Мы усиливаем защиту от Spectre v2 и рекомендуем пользователям обратиться к производителям систем для получения обновлений», — заявили в Intel.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники подменяют номера техподдержки на официальных сайтах Apple, PayPal

Если вы внимательно проверяете адресную строку перед тем, как кликнуть на сайт Apple, Microsoft, PayPal или Netflix — молодцы, но этого теперь может быть недостаточно. Мошенники придумали хитрый способ внедрять свои фейковые номера поддержки прямо на официальных сайтах. Да-да, вы всё ещё на настоящем сайте, но номер — поддельный.

Об этом рассказали исследователи из Malwarebytes. Как всё работает? Очень просто: злоумышленники покупают рекламу в Google по запросам типа «поддержка Apple» или «служба помощи PayPal». Вроде бы ничего подозрительного — в рекламе указан правильный адрес (например, https://www.apple.com), и ссылка действительно ведёт туда. Но вот дальше начинается магия.

В URL добавляются скрытые параметры, которые браузер передаёт сайту. Эти параметры подсовывают поддельные номера прямо в страницу, которую вы видите. Итог: вы находитесь на настоящем сайте Apple, но вам показывают липовый номер поддержки, по которому вас уже ждут мошенники.

 

«Если я покажу такую страницу своим родителям — они не поймут, что что-то не так», — говорит аналитик Malwarebytes Жером Сегюра

И правда, выглядит всё довольно убедительно: адрес настоящий, дизайн тоже, а рядом крупный номер с подписью "Позвоните в техподдержку Apple".

И если человек устал, торопится, плохо видит или просто не ожидает подвоха — он вполне может позвонить. А дальше схема стандартная: якобы "специалист" предлагает установить удалённый доступ или просит данные банковской карты. Бывает, что звонки якобы от имени Bank of America или PayPal — цель всё та же: украсть деньги.

К счастью, специалисты Malwarebytes научили своё антивирусное расширение блокировать такие фокусы, а сайт компании уже очищен от уязвимости. Но лучшее средство — не кликать на рекламу в Google вообще. Вместо этого ищите нужные сайты в органической выдаче или вбивайте адрес вручную.

Вывод: если видите номер поддержки на сайте — не спешите звонить. Лучше перепроверьте его через другие источники. Мошенники становятся всё изобретательнее, но внимательность всё ещё работает.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru