CPU漏洞引爆全球危機 360安全專家深度解析防禦策略

01-29

1月4日，國外安全研究者披露的Meltdown消融/崩垮（CVE-2017-5754）及Spectre幽靈（CVE-2017-5753 & CVE-2017-5715）兩組CPU漏洞引發了全球安全恐慌。這場由英特爾CPU漏洞衍生出的安全問題，波及了全球所有桌面系統、電腦、智能手機及雲計算伺服器。
對此，360安全中心緊急展開了漏洞響應，並發布了預警通告及詳細解讀。360核心安全事業部總經理、Vulcan團隊負責人鄭文彬提醒廣大網民，無需過分恐慌，只要保證良好的上網習慣，為操作系統、虛擬化軟體、瀏覽器等及時更新補丁，同時，安裝及開啟安全軟體，就能在第一時間防禦利用這些漏洞的攻擊程序。

全球網民無一倖免！漏洞本身卻並不可怕

現代處理器（CPU）的運作機制中存在兩個用於加速執行的特性，推測執行（Speculative Execution）和間接分支預測（Indirect Branch Prediction)。這兩組CPU漏洞的利用依靠推測執行特性，通過用戶層面應用從CPU 內存中讀取核心數據。推測執行技術從1995年開始應用，所以近20年的Intel, AMD,　Qualcomm廠家和其它ARM的處理器幾乎都受到影響；

Meltdown的具體影響範圍：

Intel CPU用戶：幾乎所有（1995年之後的所有的CPU型號，除了2013年之前的Intel 安騰和Atom外）
AMD CPU用戶：根據AMD公司的聲明，目前AMD CPU不受Meltdown漏洞影響
ARM CPU用戶：根據ARM公司的聲明，包括Cortex-A75在內的少數ARM核心CPU受影響

Spectre的具體影響範圍：

Intel CPU用戶：幾乎所有

AMD CPU用戶：幾乎所有
ARM CPU用戶：根據ARM公司的聲明，包括Cortex-A8， Cortex-A9等在內的約十種ARM核心CPU受影響，其他類型的ARM CPU不受影響

雖然影響範圍極廣，但漏洞本身的危害卻並不十分嚴重，前也沒有任何已知的利用這些漏洞進行攻擊的案例被發現。攻擊者雖可利用該漏洞竊取隱私，但無法控制電腦、提升許可權或者突破虛擬化系統的隔離。此外，該漏洞不能被遠程利用，更無法像「永恆之藍」漏洞一樣，在用戶沒有任何交互操作時就實現攻擊。

鄭文彬表示，漏洞利用的前提需要攻擊者已經在用戶系統及雲計算客戶系統上運行惡意程序，這一點完全可以通過良好上網習慣及安全軟體的防禦避免，更能夠杜絕CPU漏洞與其他漏洞相結合實施的進一步危害。

徹底修復難度高！解決CPU漏洞需要廠商聯動

「這兩組漏洞影響力之所以這麼大，一方面是因為受影響範圍廣泛，另一方面則是因為修復難度大。」鄭文彬表示，漏洞波及面特別廣，幾乎所有的主流智能終端，電腦、筆記本、Pad、手機、IOT設備的CPU都受到影響。

除了影響全球網民，CPU漏洞的影響力也來自於其漏洞修復的高難度。儘管是CPU硬體的漏洞，但是僅通過CPU廠商進行安全更新（例如升級CPU微碼）是無法解決這一問題，修復這些漏洞需要操作系統廠商、虛擬化廠商、軟硬體分銷商、瀏覽器廠商、CPU廠商一起協作並進行複雜且極其深入的修改，才能徹底解決問題，對於這些影響如此廣泛的漏洞來說要完美做到修復更是困難。

目前，各大廠商對該漏洞事件反應及時，相關平台、軟體提供商都在積極應對該漏洞，部分廠商已經提供了解決方案。Intel建議關注後續的晶元組更新、主板BIOS更新；針對Meltdown漏洞，Linux已經發布了KAISER；macOS從10.13.2予以了修復；谷歌稱已經修復；Win10 Insider去年底修復；Win10秋季創意者更新今晨發布了KB4056892，將強制自動安裝；亞馬遜隨後也公布了指導方案；對於難度更高的Spectre漏洞，各廠商目前也仍在攻堅中。

補丁致性能損耗不可盡信！打補丁仍是防護首要一步

目前，雖然部分軟體及系統已有補丁，但由於網上流傳著「補丁將導致CPU性能損耗30%」的說法，不少網民深表擔憂。

對此，鄭文彬表示，這種說法比較片面，30%的性能損失是在比較極端的專門測試情況下出現的，通常的用戶使用情況下，尤其在用戶的電腦硬體較新的情況下（例如絕大部分在售的Mac電腦和筆記本），這些補丁的性能損失對用戶來說是幾乎可以忽略不計。

此外，目前的補丁還只是第一步的動作，接下來包括微軟、Intel在內的廠商還會進一步推出針對性的補丁，進一步降低補丁對性能的損耗。同時，對於廣大使用32位X86操作系統的用戶，目前的補丁對性能的損失幾乎可以忽略不計。

因此，打補丁仍是防護CPU漏洞攻擊最重要一步。目前，網民可以通過以下安全策略進行防護：

升級最新的操作系統和虛擬化軟體補丁：目前微軟、Linux、MacOSX、XEN等都推出了對應的系統補丁，升級後可以阻止這些漏洞被利用；
升級最新的瀏覽器補丁：目前微軟IE、Edge和Firefox都推出了瀏覽器補丁，升級後可以阻止這些漏洞被利用；
等待或要求你的雲服務商及時更新虛擬化系統補丁；
安裝安全軟體：360安全衛士會在第一時間發現可能的利用這些漏洞的攻擊程序並進行殺除及防護。此外，360安全團隊還會對該漏洞保持研究，並實時為網民更新推送完整的解決方案。