这是不可避免的。一旦谷歌发表了他们的研究结果崩溃和幽灵脆弱性在cpu中,坏人用它作为创建恶意软件的路线图。到目前为止,研究人员已经发现了130多个恶意软件样本,旨在利用Spectre和Meltdown。
如果有什么好消息的话,那就是大部分的样本似乎都处于测试阶段,根据杀毒软件测试公司AV-TEST的说法,或者是基于安全研究人员创建的概念验证软件。尽管如此,这一数字仍在快速增长。
1月17日,AV-TEST报告说它已经看到了77个恶意软件样本。六天之后,这个数字增加到119,到2月1日,这个数字上升了139样品。
Meltdown和Spectre攻击方法利用了分支预测中的一个设计缺陷,即CPU对它接下来将要计算或处理的内容做出有根据的猜测,它们允许恶意应用程序绕过内存隔离来访问内存的内容。虽然内容不能被修改或销毁,但它们可以被阅读,这已经够糟糕的了。
Spectre基于javascript的概念验证利用
上个月,在Spectre和Meltdown漏洞被披露后不久,一个基于javascript的对Spectre的概念验证开发出现在互联网上。安全公司Fortinet在1月底检查了所有公开的样本发现,83%所有的示例都基于概念验证代码。
这意味着恶意软件作者仍在试验和试图找到一个好的,有效的利用。因为他们使用的是JavaScript,所以很可能会以网络攻击的形式出现——从某种程度上来说,这是好消息。服务器不浏览web,而客户机可以。微软和苹果已经发布了针对Windows和macOS的补丁。因此,如果大部分漏洞都是JavaScript的,那么很有希望它们会被锁定在客户端。然后,诀窍就变成了不让它进入服务器。假设黑客会坚持使用JavaScript。
英特尔已经发布了漏洞修复程序,但不得不撤回,因为它们弊大于利,这激怒了Linux开发者Linus Torvalds。英特尔刚刚发布了新的BIOS修复。微软已经发布了自己的Windows修复程序,但它也有自己的问题。
如果这还不够糟糕,Malwarebytes发现了一个针对德国用户的假冒补丁网站据说是修复Meltdown和Spectre,但实际上安装了烟雾加载器恶意软件,下载其他恶意有效载荷。