Virginia Üniversitesi ve California Üniversitesi’ndeki araştırmacılar tarafından yapılan bir araştırmaya göre, Intel ve AMD CPU çiplerinde yerleşik olarak bulunan tüm mevcut Spectre korumalarını atlatabilen yeni bir saldırı yöntemi keşfedilmiştir. Bu zafiyet Intel ve AMD işlemcilerine sahip milyonlarca cihazı etkilemektedir.
Modern işlemcileri etkileyen kritik Spectre güvenlik zafiyetleri ilk olarak Ocak 2018 tarihinde ortaya çıkmıştır. Giderilmesi zor olan bir güvenlik zafiyeti olmasından dolayı hala işlemciler için önemli bir risk oluşturmaktadır. Spectre zafiyeti, zamanlama saldırısına (timing side channel) neden olmaktadır. Zamanlama saldırısı; farklı uygulamalar arasındaki izolasyonu ortadan kaldırarak programları, hafızadaki rastgele konumlara erişmesi için manipüle etmektedir. Böylece hassas verileri sızdırmak için CPU donanım uygulamalarında, spekülatif yürütme adı verilen bir optimizasyon yönteminden yararlanmaktadır. Yeni saldırı yöntemi sayesinde saldırganlar hedefledikleri kişilerin gizli verilerini açığa çıkarmak amacıyla side-channel (yan kanal) saldırı yöntemini kullanmaktadır. Bu saldırı sayesinde makine talimatlarını basit komutlara dönüştürerek ve hesaplamayı hızlandıran çip üzerindeki bileşen olan micro-operations önbelleği bileşeninden yararlanarak gizli verilere ulaşılabilmektedir.
Mikro işlem önbellekleri, 2011 yılından bu yana üretilen Intel tabanlı makinelerde yerleşik olarak bulunmaktadır.
Araştırmacılar, side-channel (yan kanal) olarak mikro işlem önbelleğinin birkaç tehlikeli sonucu olduğunu açıkladı. Bunlardan birincisi, yan kanallar olarak önbellekleri azaltan tüm teknikleri atlayabilir. İkincisi ise bu saldırılar mevcut herhangi bir saldırı veya kötü amaçlı yazılım profili tarafından algılanmayarak ciddi sorun oluşabilir.
Güvenlik araştırmacıları, yeni Spectre zafiyetinin etkilerini en aza indirmek adına kullanıcılara mikro işlem önbelleğini temizlemelerini ve sabit zamanlı programlama ilkelerine bağlı kalınmasını tavsiye etmektedir.
Kaynakça:
cs.virginia.edu
thehackernews.com
Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.