Hertzbleed: новая атака по сторонним каналам затрагивает CPU от Intel, AMD

Hertzbleed: новая атака по сторонним каналам затрагивает CPU от Intel, AMD

Hertzbleed: новая атака по сторонним каналам затрагивает CPU от Intel, AMD

Новый вид кибератаки по сторонним каналам, получивший имя Hertzbleed, позволяет злоумышленникам удалённо вытащить криптографические ключи целиком, наблюдая за изменениями частоты процессора.

Этот вектор открывается на современных x86-процессорах от Intel (уязвимость под идентификатором CVE-2022-24436) и AMD (CVE-2022-23823). Дросселирование тактов (Dynamic frequency scaling, DVFS), играющее в Hertzbleed ключевую роль, зависит от потребляемой мощности и обрабатываемых данных.

Как правило, DVFS используется современными процессорами в качестве образного барьера, который не даёт системе выходить за пределы мощности и температуры при высоких нагрузках.

Об атаке Hertzbleed рассказали специалисты университетов Техаса, Иллинойса и Вашингтона. Они объясняют свою находку следующим образом:

«В худшем случае такого рода атаки могут позволить злоумышленнику извлечь с удалённых серверов криптографические ключи, которые в обычных условиях должны быть хорошо защищены. Hertzbleed — вполне состоятельный вектор, применимый на практике».

«Во-первых, Hertzbleed показала, что на x86-процессорах атаки по сторонним каналам можно превратить в тайминг-атаки. Во-вторых, Hertzbleed демонстрирует возможность утечки криптографического кода с помощью анализа времени».

Как отметили в Intel, соответствующая уязвимость затрагивает все процессоры корпорации. Более того, удалённая эксплуатация позволяет злоумышленнику с низкими правами провести кибератаку без какого-либо взаимодействия с пользователем.

Представители AMD тоже прокомментировали находку экспертов, уточнив, что Hertzbleed представляет угрозу для нескольких продуктов, среди которых десктопные, мобильные, серверные и даже установленные в Chromebook процессоры.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Из Windows 11 удалили скрипт обхода Microsoft Account, но лазейка осталась

На прошлой неделе Microsoft выпустила превью-версию апдейта KB5053658 для Windows 11 24H2. Перечень изменений содержит один примечательный пункт: удален скрипт bypassnro.cmd, позволявший обойти настройку входа в систему из-под аккаунта Microsoft.

Это требование, как и обязательное подключение к интернету, определяет приложение Out-of-Box Experience (OOBE), запускаемое автоматически при установке или обновлении операционной системы.

Поскольку Microsoft Account открывает доступ к облачным сервисам, на которые полагаются многие функции Windows 11, разработчик счел нужным настоять на его использовании, закрыв предоставляемую bypassnro.cmd лазейку «в целях повышения безопасности и удобства использования» ОС.

Как выяснилось, скрипт из сборки удалили, но используемые им команды все еще работают, только теперь придется отменять требования OOBE вручную — например, через создание нового ключа реестра:

  1. Открыть командную строку (Shift + F10).
  2. Вбить regedit и нажать Enter, чтобы открыть Редактор реестра.
  3. Создать DWORD с именем bypassnro в подразделе HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\OOBE.
  4. Двойным кликом перевести значение bypassnro-ключа в «1» и кликнуть «OK» для сохранения.
  5. Закрыть Редактор и перезапустить систему (командой shutdown /r).

 

Можно обойтись и без Редактора реестра, запустив пару команд из консоли:

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\OOBE /v BypassNRO /t REG_DWORD /d 1 /f
shutdown /r /t 0

Или вызвать скрытый экран настройки локальной учетной записи командой

start ms-cxh:localonly

В Bleeping Computer опробовали этот метод и убедились, что он работает.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru