Chúc mừng năm mới! Ba lỗi bảo mật lớn trong Intel, AMD, ARM và các bộ vi xử lý khác đã được tiết lộ vào thứ Tư (ngày 3 tháng 1). Microsoft đã phát hành một bản vá khẩn cấp cho tất cả các phiên bản Windows được hỗ trợ, bao gồm Windows 7, Windows 8.1 và Windows 10, nhưng nói thêm rằng người dùng cũng nên áp dụng các bản cập nhật chương trình cơ sở khi chúng có sẵn từ các nhà sản xuất thiết bị. Google đã vá lỗ hổng trên Android bằng bản cập nhật tháng 1 năm 2022-2023, được phát hành vào thứ Ba (ngày 2 tháng 1), mặc dù hiện tại chỉ có các thiết bị do Google quản lý mới có. Các bản vá cho macOS, iOS và Linux có thể chưa có sẵn hoàn toàn.
Hai cuộc tấn công bằng chứng khái niệm, được đặt tên là "Meltdown" và "Spectre", khai thác ba lỗ hổng này, liên quan đến cách các bộ xử lý máy tính hiện đại xử lý bộ nhớ đang chạy của các ứng dụng và hệ thống lõi, hoặc hạt nhân, trên các hệ điều hành hiện tại.
"Meltdown và Spectre hoạt động trên máy tính cá nhân, thiết bị di động và trên đám mây", các trang web dành cho từng lỗ hổng có nội dung giống hệt nhau, nói. "Tùy thuộc vào cơ sở hạ tầng của nhà cung cấp đám mây, có thể bị đánh cắp dữ liệu từ các khách hàng khác."
Một bài đăng trên blog của Google giải thích rằng các lỗ hổng này có thể khiến "một bên không được phép có thể đọc thông tin nhạy cảm trong bộ nhớ của hệ thống, chẳng hạn như mật khẩu, khóa mã hóa hoặc thông tin nhạy cảm mở trong các ứng dụng."
Meltdown xóa ranh giới giữa quy trình nhân và quy trình người dùng và dường như chỉ giới hạn trong chip Intel. Spectre đánh cắp dữ liệu từ các ứng dụng đang chạy và hoạt động trên cả chip AMD và ARM. Các trang web Spectre và Meltdown không nêu chi tiết các chipset khác nhau được sử dụng trên thiết bị di động bị ảnh hưởng như thế nào.
Tuy nhiên, AMD phủ nhận rằng họ bị ảnh hưởng bởi bất kỳ sai sót nào.
"AMD không dễ bị ảnh hưởng bởi cả ba biến thể", công ty cho biết với CNBC. "Do sự khác biệt trong kiến trúc của AMD, chúng tôi tin rằng có một rủi ro gần như bằng không đối với bộ vi xử lý AMD tại thời điểm này."
Phải làm gì
Nếu sử dụng Windows 7, 8.1 hoặc 10, bạn nên áp dụng bản cập nhật bảo mật Windows được phát hành hôm nay. Phiên bản đầu tiên của các bản vá lỗi đã được gửi tới người dùng Windows Insider vào tháng 11 và tháng 12.
"Chúng tôi đang trong quá trình triển khai các biện pháp giảm thiểu cho các dịch vụ đám mây và đang phát hành các bản cập nhật bảo mật ngày hôm nay để bảo vệ khách hàng Windows trước các lỗ hổng ảnh hưởng đến các chip phần cứng được hỗ trợ từ AMD, ARM và Intel", một phần thông báo của Microsoft cho biết. "Chúng tôi không nhận được bất kỳ thông tin nào cho thấy rằng những lỗ hổng này đã được sử dụng để tấn công khách hàng của chúng tôi."
Tuy nhiên, có một số khó khăn. Đầu tiên, trừ khi bạn đang chạy máy tính xách tay hoặc máy tính bảng do Microsoft cung cấp, chẳng hạn như Surface, Surface Pro hoặc Surface Book, bạn cũng sẽ phải áp dụng bản cập nhật chương trình cơ sở từ nhà sản xuất máy tính của mình.
"Những khách hàng chỉ cài đặt bản cập nhật bảo mật Windows January2022-2023 sẽ không nhận được lợi ích của tất cả các biện pháp bảo vệ đã biết trước các lỗ hổng", một tài liệu hỗ trợ của Microsoft được đăng trực tuyến cho biết. "Ngoài việc cài đặt các bản cập nhật bảo mật tháng 1, bản cập nhật vi xử lý hoặc chương trình cơ sở là bắt buộc. Bản cập nhật này sẽ có sẵn thông qua nhà sản xuất thiết bị của bạn. Khách hàng Surface sẽ nhận được bản cập nhật vi mã thông qua bản cập nhật Windows."
Thứ hai, Microsoft nhấn mạnh rằng khách hàng phải đảm bảo rằng họ đã chạy phần mềm diệt virus "hỗ trợ" trước khi áp dụng bản vá. Trong một tài liệu riêng giải thích về bản vá bảo mật mới, Microsoft nói rằng chỉ những máy chạy phần mềm như vậy mới tự động nhận được bản vá.
Không rõ chính xác ý nghĩa của Microsoft đối với phần mềm chống vi-rút "được hỗ trợ" hoặc tại sao Microsoft khẳng định rằng phần mềm đó phải có trên máy trước khi bản vá được áp dụng. Có một liên kết đến một tài liệu được cho là giải thích tất cả điều này, nhưng khi viết bài này vào tối thứ Tư, liên kết đã không đi đến đâu.
Cuối cùng, Microsoft thừa nhận rằng có những "tác động tiềm ẩn về hiệu suất" liên quan đến các bản vá. Nói cách khác, sau khi bạn áp dụng các bản vá, máy của bạn có thể chạy chậm hơn.
"Đối với hầu hết các thiết bị tiêu dùng, tác động có thể không đáng chú ý", lời khuyên. "Tuy nhiên, tác động cụ thể khác nhau tùy theo thế hệ phần cứng và việc thực hiện của nhà sản xuất chip."
Để chạy Windows Update theo cách thủ công, hãy nhấp vào nút Bắt đầu, nhấp vào biểu tượng bánh răng Cài đặt, nhấp vào Cập nhật & Bảo mật và nhấp vào Kiểm tra bản cập nhật.
Người dùng Apple nên cài đặt các bản cập nhật trong tương lai bằng cách nhấp vào biểu tượng Apple, chọn App Store, nhấp vào Cập nhật và nhấp vào Cập nhật bên cạnh bất kỳ mục nào từ Apple. Có một báo cáo chưa được xác nhận trên Twitter rằng Apple đã vá các lỗ hổng với macOS 10.13.2 vào đầu tháng 12, nhưng số ID lỗ hổng (CVE) được bao gồm trong các bản vá lỗi của Apple tháng 12 không khớp với số được gán cho Meltdown và Spectre.
Các máy Linux cũng sẽ yêu cầu các bản vá và có vẻ như một thứ gì đó có thể đã sẵn sàng. Như đã đề cập ở trên, bản vá bảo mật Android January2022-2023 đã sửa lỗi này, mặc dù hiện tại chỉ có một tỷ lệ nhỏ thiết bị Android nhận được nó. (Không rõ có bao nhiêu thiết bị Android dễ bị ảnh hưởng.)
Cách các cuộc tấn công hoạt động
Cuộc tấn công Meltdown, theo như các nhà nghiên cứu biết chỉ ảnh hưởng đến các chip Intel được phát triển từ năm 1995 (ngoại trừ dòng Itanium và dòng Atom trước năm 2013), cho phép các chương trình thông thường truy cập thông tin hệ thống được cho là được bảo vệ. Thông tin đó được lưu trữ trong hạt nhân, trung tâm ẩn sâu của hệ thống mà các thao tác của người dùng không bao giờ có ý định đến gần.
“Meltdown phá vỡ sự cách ly cơ bản nhất giữa các ứng dụng của người dùng và hệ điều hành,” trang web Meltdown và Spectre giải thích. "Cuộc tấn công này cho phép một chương trình truy cập bộ nhớ, và do đó cũng là bí mật của các chương trình khác và hệ điều hành."
"Nếu máy tính của bạn có bộ xử lý dễ bị tấn công và chạy hệ điều hành chưa được vá lỗi, sẽ không an toàn khi làm việc với thông tin nhạy cảm mà không có nguy cơ bị rò rỉ thông tin."
Meltdown được đặt tên như vậy vì về cơ bản nó "phá vỡ các ranh giới bảo mật thường được thực thi bởi phần cứng."
Để khắc phục lỗ hổng liên quan, bộ nhớ hạt nhân sẽ cần phải được cách ly nhiều hơn với các quy trình của người dùng, nhưng có một điểm cần lưu ý. Có vẻ như lỗ hổng tồn tại một phần là do việc chia sẻ bộ nhớ giữa các quy trình nhân và người dùng cho phép các hệ thống chạy nhanh hơn và việc dừng chia sẻ đó có thể làm giảm hiệu suất của CPU.
Một số báo cáo cho biết các bản sửa lỗi có thể làm chậm hệ thống tới 30%. Các đồng nghiệp của chúng tôi tại Tom's Hardware cho rằng tác động đến hiệu suất hệ thống sẽ nhỏ hơn nhiều.
Mặt khác, Spectre là phổ biến và "phá vỡ sự cô lập giữa các ứng dụng khác nhau", các trang web cho biết. "Nó cho phép kẻ tấn công đánh lừa các chương trình không có lỗi, tuân theo các phương pháp hay nhất, làm rò rỉ bí mật của chúng. Trên thực tế, việc kiểm tra an toàn của các phương pháp hay nhất nói trên thực sự làm tăng bề mặt tấn công và có thể khiến các ứng dụng dễ bị Spectre hơn."
"Tất cả các bộ vi xử lý hiện đại có khả năng lưu giữ nhiều hướng dẫn trong chuyến bay đều có khả năng bị tấn công" đối với Spectre. "Đặc biệt, chúng tôi đã xác minh Spectre trên bộ vi xử lý Intel, AMD và ARM."
Các trang web tiếp tục giải thích rằng việc phát hiện các cuộc tấn công như vậy gần như không thể và phần mềm chống vi-rút chỉ có thể phát hiện phần mềm độc hại xâm nhập vào hệ thống trước khi khởi động các cuộc tấn công. Họ nói rằng Spectre khó thực hiện hơn Meltdown, nhưng không có bằng chứng nào cho thấy bất kỳ cuộc tấn công tương tự nào đã được thực hiện "trong tự nhiên."
Tuy nhiên, họ nói rằng Spectre, được gọi là vì nó lạm dụng thực thi suy đoán, một quy trình chipset phổ biến, "sẽ ám ảnh chúng tôi trong một thời gian khá dài."
Nghệ thuật giữ bí mật đã mất
Intel, AMD và ARM đã được Google thông báo về những sai sót này vào tháng 6 năm 2022-2023 và tất cả các bên liên quan đã cố gắng giữ kín mọi chuyện cho đến khi các bản vá lỗi sẵn sàng vào tuần tới. Nhưng các chuyên gia bảo mật thông tin không nắm được bí mật có thể cho biết một điều gì đó lớn sắp xảy ra.
Các cuộc thảo luận trên các diễn đàn phát triển Linux liên quan đến việc đại tu triệt để việc xử lý bộ nhớ nhân của hệ điều hành, nhưng không có chi tiết nào được tiết lộ. Những người có địa chỉ email của Microsoft, Amazon và Google đã tham gia một cách bí ẩn. Điều bất thường là, các đại tu đã được chuyển lại sang một số phiên bản Linux trước đó, cho thấy rằng một vấn đề bảo mật lớn đang được khắc phục.
Điều đó làm dấy lên một vài ngày thuyết âm mưu trên Reddit và 4chan. Vào thứ Hai (ngày 1 tháng 1), một blogger tự xưng là Python Sweetness đã "kết nối các dấu chấm vô hình" trong một bài đăng dài nêu chi tiết một số phát triển song song giữa các nhà phát triển Windows và Linux liên quan đến việc xử lý bộ nhớ nhân.
Cuối thứ Ba (ngày 2 tháng 1). Đăng ký tổng hợp rất nhiều thông tin tương tự. Nó cũng lưu ý rằng Amazon Web Services sẽ thực hiện bảo trì và khởi động lại các máy chủ đám mây của mình vào tối thứ Sáu tới đây (ngày 5 tháng 1). và Azure Cloud của Microsoft cũng có kế hoạch tương tự vào ngày 10 tháng 1.
Con đập đã bị vỡ hôm thứ Tư khi một nhà nghiên cứu bảo mật người Hà Lan tweet rằng anh ta đã tạo ra một lỗi bằng chứng về khái niệm dường như khai thác ít nhất một trong những lỗ hổng.
Tại 15:00. EST ngày thứ Tư, Intel, công ty đã chứng kiến cổ phiếu của mình giảm khoảng 10% trong giao dịch ngày hôm đó, đã đưa ra một thông cáo báo chí hạ thấp các sai sót và cổ phiếu của họ theo đó đã lấy lại được một số điểm. Nhưng công ty thừa nhận rằng các lỗ hổng này có thể được sử dụng để đánh cắp dữ liệu và họ cũng như các nhà sản xuất chip khác đang làm việc để khắc phục sự cố.
"Intel và các nhà cung cấp khác đã lên kế hoạch tiết lộ vấn đề này vào tuần tới khi có nhiều bản cập nhật phần mềm và phần sụn", tuyên bố cho biết. "Tuy nhiên, Intel đưa ra tuyên bố này ngày hôm nay vì các báo cáo truyền thông không chính xác hiện tại."
Vào lúc 5 giờ chiều, Daniel Gruss, một nghiên cứu sinh sau tiến sĩ về bảo mật thông tin tại Đại học Kỹ thuật Graz ở Áo, đã đến để thông báo về Meltdown và Spectre. Ông nói với Zack Whittaker của ZDNet rằng "hầu hết mọi hệ thống" dựa trên chip Intel từ năm 1995 đều bị ảnh hưởng bởi các sai sót. Hóa ra vấn đề thậm chí còn tồi tệ hơn.
Gruss là một trong bảy nhà nghiên cứu của Graz, vào tháng 10 năm 2022-2023 đã xuất bản một bài báo kỹ thuật trình bày chi tiết các sai sót lý thuyết trong cách Linux xử lý bộ nhớ hạt nhân và đề xuất cách khắc phục. Python Sweetness, người viết blog có bút danh được nhắc đến ở đầu câu chuyện này, rõ ràng đã đúng khi đoán rằng bài báo đó là trung tâm của lỗ hổng Intel đang được xử lý hiện tại.
Lúc 6 giờ tối. EST, các trang web Spectre và Meltdown đã hoạt động, cùng với một bài đăng trên blog của Google trình bày chi tiết nghiên cứu của riêng công ty đó. Hóa ra là hai đội đã độc lập phát hiện ra Meltdown, và ba đội khác nhau đã đồng thời tìm ra Spectre. Project Zero của Google và nhóm của Gruss tại Graz đã góp mặt trong cả hai.
Tín dụng hình ảnh: Natascha Eidl / Miền công cộng
- 12 sai lầm về bảo mật máy tính mà bạn có thể mắc phải
- Bảo vệ chống vi-rút tốt nhất cho PC, Mac và Android
- Bảo mật của bộ định tuyến của bạn bị lỗi: Đây là cách khắc phục nó