Recommended
Recommended
More Related Content
Recently uploaded
Recently uploaded (10)
Featured
Featured (20)
Meltdown/Spectreの脆弱性、リスク、対策
- 3. Meltdown/Spectreとは? •“Speculative Execution Side Channel Attack” (投機実⾏のサイドチャンル攻撃) という新しい脆弱性のジャンルの2つの異なる脆弱性/攻撃 •現在、3つの攻撃⼿法が公開されている タイプ1:配列の境界チェックバイパス (CVE-2017-5753) (Spectre) タイプ2:分岐ターゲットインジェクション (CVE-2017-5715) (Spectre) タイプ3:不正なデータキャッシュ読み込み (CVE-2017-5754) (Meltdown)
- 4. 発見者 •2017年6月ごろにたまたま同じタイミングで 複数のチームに発見された •Meltdown ・ Jann Horn (Google Project Zero) ・ Werner Haas, Thomas Prescher (Cyberus Technology), ・ Daniel Gruss, Moritz Lipp, Stefan Mangard, Michael Schwarz (Graz University of Technology) •Spectre • Jann Horn (Google Project Zero) • Paul Kocher
- 9. 脆弱性の背景
- 10. User/Kernelメモリ (プロテクトモード) User Mode (Ring 3) 権限:低 プロセス(起動中のアプリケーション)の仮想メモリ空間 Kernel Mode (Ring 0) 権限:⾼ アプリケーションの 実⾏命令とデータ OS(ファイルアクセス、 セキュリティチェック、 プロセス管理、パスワード管理等)
- 11. User/Kernelメモリ •プログラムがファイルにアクセスしたり、 ネットワークでデータを送信したい時は カーネルにお願いするしかない(System Call (syscall)) •syscallを実⾏すると、CPUが⼀旦Ring 3からRing 0に切り替わり、 syscallの実⾏が終了するとまたRing 3に戻る •Userモードメモリから直接Kernelモードメモリへの アクセスは禁⽌されている! •Userプロセスが別プロセスのメモリへのアクセスも禁⽌ (例外: Debugger、DLLインジェクション等々(管理者権限必要))
- 12. User Mode Sandbox (User Mode) (Kernel Mode) ウェブブラウザ ウェブサイト A JavaScript Sandbox A JavaScript Sandbox B ウェブサイト B あるウェブサイトのJavascriptが勝⼿に 違うサイトの情報(例:Cookieの セッションID等)やブラウザの メモリ上にあるパスワード、 セッションID等にアクセスできない ように (セッション乗っ取りできないように) Sandboxという制限された仮想環境で 実⾏される。
- 14. Meltdown攻撃 User Mode (Ring 3) 権限:低 Kernel Mode (Ring 0) 権限:⾼ ユーザプロセスが勝⼿に カーネルメモリの情報を 閲覧できてしまう OSにある機密情報 (パスワード等)を盗める
- 15. 物理メモリ v.s. 仮想メモリ リンク:https://ja.wikipedia.org/wiki/プロテクトモード 各32ビットアプリは4GBの仮想空間を持っている 2^32 = 4GB (0x00000000 - 0xffffffff) 半分がユーザアドレス、半分がカーネルアドレス 使用されているメモリアドレスは物理メモリに マッピングされている OSと全てのプロセス情報は物理メモリにある 物理メモリをダンプできたら、全てのプロセス 情報を盗める!
- 16. カーネルメモリ↔物理メモリのマッピング User Mode Kernel Mode 物理 メモリ 特定のカーネルアドレスが 物理メモリアドレスに マッピングされている Linux/OS Xでは完全な メモリダンプが可能! Windowsではほとんど のメモリダンプが可能
- 19. 攻撃⼿法の背景
- 20. 投機実⾏ •“Speculative Execution” (コンセプトは1964年からある) •Wikipedia: 性能最適化の⼀種である。その主たる考え⽅ は、命令が確実に必要とされるかどうかを知る「前」に 実⾏するというもので、それによってその命令が 必要だとわかった「後」でその命令をしたときに ⽣じる遅延を防ぐ。その命令が全く不要だったと判明 した場合、その結果を単に無視する。目的は余分な計算 資源が利用可能な場合に並⾏性を向上させることである。
- 21. 投機実⾏ •以下のようなテクノロジーがこの考え⽅を採用している • メモリとファイルシステムにおけるプリフェッチ • 分岐予測 if <条件> then この命令を実⾏ else この命令を実⾏ • データベースシステムにおける楽観的並⾏性制御
- 23. 投機実⾏(分岐の場合) (tanakaの場合) 命令1 命令2 命令3 if namae == “tanaka" (tanakaじゃない場合) 命令1 命令2 命令3 ・CPUが分岐予測でどっちの場合が多いか学習する ・確率の⾼い⽅の命令を事前に実⾏/計算してみる
- 24. サイドチャネル攻撃 •Wikipedia JP曰く:「暗号装置の動作状況を様々な物理的⼿段で 観察することにより、装置内部のセンシティブな情報を 取得しようとする攻撃(暗号解読)⽅法の総称である」 •(うん、、暗号解読に限らない。ちょっと違う・・) •Wikipedia EN曰く:Any attack based on information gained from the physical implementation of a computer system, rather than weaknesses in the implementation itself (e.g. cryptanalysis and software bugs). •本来はそうだけどphysical implementationにも限らない・・
- 25. サイドチャネル攻撃 •例: •タイミング攻撃 (Timing Attack. 例:Meltdown、Spectre) •故障利用攻撃 (Fault Attack. 例:Row hammer) •電⼒解析攻撃 (Power Monitoring Attack) •電磁波解析攻撃 (Electromagnetic Analysis. 例:TEMPEST) •キャッシュ攻撃 (Cache Attack:例:Meltdown/Spectre) •音響解析攻撃 (Acoustic Attack) •等々
- 29. Meltdown攻撃 (抽象編) •例: (@pwnallthethingsの記事を参考) •01: $A = muzukashii_keisan() 02: if ($A == 8) { 03: $B = load_memory(kernel_address) 04: $C = load_memory($B) 05: } 計算している間に 以下のコードを裏 で投機実⾏する $A != 8 ので投機実⾏した結果を捨てるが、 カーネルアドレスにあるデータがCPUのキャッシュに残る
- 30. Meltdown攻撃 (抽象編) •例: •01: $A = muzukashii_keisan() 02: if ($A == 8) { 03: $B = load_memory(kernel_address) 04: $C = load_memory($B) 05: } KPTI等のOSパッチは投機実⾏を悪用して カーネルアドレスにアクセスできない (CPUが正しく権限を確認するかブロックする) ユーザプロセスがカーネル アドレスにアクセスしよう としたら次の命令を 投機実⾏してはいけない!
- 34. Spectre攻撃(検証コード) $ ./spectre.out Putting 'The Magic Words are Squeamish Ossifrage.' in memory Reading 40 bytes: Reading at malicious_x = 0xffffffffffdfeed8... Success: 0x54='T' score=2 Reading at malicious_x = 0xffffffffffdfeed9... Success: 0x68='h' score=2 Reading at malicious_x = 0xffffffffffdfeeda... Success: 0x65='e' score=2 Reading at malicious_x = 0xffffffffffdfeedb... Success: 0x20=' ' score=2 Reading at malicious_x = 0xffffffffffdfeedc... Success: 0x4D='M' score=2 Reading at malicious_x = 0xffffffffffdfeedd... Success: 0x61='a' score=7 (second best: 0x00 score=3) Reading at malicious_x = 0xffffffffffdfeede... Success: 0x67='g' score=2 Reading at malicious_x = 0xffffffffffdfeedf... Success: 0x69='i' score=2 Reading at malicious_x = 0xffffffffffdfeee0... Success: 0x63='c' score=7 (second best: 0x05 score=1) Reading at malicious_x = 0xffffffffffdfeee1... Success: 0x20=' ' score=7 (second best: 0x00 score=3)
- 36. リスク
- 38. 対策
- 41. Windowsの対策 • Windows Updateである程度対策できる • ※パフォーマンスが下がる (5-30%?) (PCID機能が付いているCPUはマシ) • ※レジストリ設定変更も必要!(サーバだけ) • ※XP、Vista、Win2003等の古いOSのパッチが無い • ※CPUベンダーからmicrocode/firmwareアップデートも必要 • ※Anti-Virusが対応していない場合はブルースクリーンになってしまう (特にSymantec?) Anti-Virusベンダーとの確認が必要。 アップデートする前にパッチをテスト! • (Spectreタイプ2はHWアップデートかソフトアップデートでretpolineで緩和)
- 43. Macの対策 •10.13.2にある程度対策済み (Meltdown対策だけ) •10.13.3に更に対策するパッチが出る? •High Sierraにアップグレードするしかない?? (T_T) •32ビットOS Xは攻撃不可能らしい。。 •iOSは11.2.2 (1月8日のセキュリティアップデート)
- 44. Linuxの対策 •Meltdown対策(ソフト側) •64bit: KPTI (Kernel Page Table Isolation) (HWパッチが来たら不要?) 旧名:KAISER プロセスの仮想空間からカーネル空間を隠す(完全にできないけど) Kernel 4.15以上、4.14.11にバックポート •32bit: •4GB/4GB Split Memoryの場合は⼤丈夫そうなので、⼀番現実的な対策 (恐らくカーネルの再コンパイルが必要) •GRSecurityのKERNEXEC&UDEREF 2006年からある程度対策していた。今は完全に対応しているけど有料
- 45. Linuxの対策 •Spectre (タイプ2) の対策: •retpolineの攻撃緩和パッチ •まだリリースされていない •Haswell CPU以降は「IBRS」のmicrocodeパッチ
- 47. ブラウザ対策 •IE : Exploit Mitigation(攻撃緩和)パッチ有り •FF: 2017年11月のバージョン57.0.4から攻撃緩和 (Timer関数の結果を曖昧に) •Safari/iOS: 1月8日に攻撃緩和のパッチがリリース •(Spectreは新ハードウェアかFirmwareアップデートで 対応するしかないようです)
- 48. ブラウザ対策 •Chrome: 1月23日にパッチリリース それまでにSite Isolationを有効にすると サイトごとに別のプロセスが立ち上げるので、 このような攻撃を防げるし、 SOP Bypass/Universal XSS (UXSS)の対策にもなるのでお勧め •デメリット ・メモリ使用が若⼲上がる ・Cross-site iframesを印刷する時にHDDに保存してから 印刷する必要がある ・Chromeデベロッパーツールはcross-site iframesに完全に対応していない
- 50. 検知
- 52. フェイクニュース
- 54. 教訓
- 56. 謎
- 61. もっと知りたい! •SANS 504のインシデント対応とハッキングトレーニング •東京: 2月26日(月)∼3月3日(⼟)(6日間) (1月12日(⾦)までお得な早期お申込み割引実施中!) •⼤阪: 3月12日(月)∼17日(⼟)(6日間) (1月26日(⾦)までお得な早期お申込み割引実施中!)