USOM'dan Meltdown Spectre açıklaması

Microsoft'un Spectre ve Meltdown güvenlik açıkları için yayınladığı güvenlik yamaları, bazı AMD işlemcili bilgisayarların açılmamasına sebep oluyor. Kullanıcılar bilgisayarların sürekli "mavi ekran" verdiğini belirtiyordu.

Bu kapsamda 04 Ocak 2018 tarihli Meltdown ve Spectre zafiyetleri ile ilgili Ulusal Siber Olaylara Müdahale Merkezi (USOM) güvenlik bildirimi güncellendi.

Google Project Zero ekibi ve ilgili akademisyenler tarafından rapor edilen Intel, AMD, ARM, (ARM tabanlı Apple, Samsung, ve Qualcomm) Meltdown ve Spectre zafiyetleri donanım seviyesinde olup, hafıza alanındaki herhangi bir işlemin (process), erişim izni olmayan alanlara ulaşarak veri okumasına yol açıyor.

Bu zafiyetler bir işlemciye sahip bütün kişisel bilgisayarlarda, bulut sistemlerinde, mobil cihazlarda ve neredeyse bütün işletim sistemlerinde bulunuyor. 3 Ocak 2018 itibariyle keşfedilen Meltdown ve Spectre zafiyetleri, uygulamalar ve işletim sistemleri arasındaki en temel fiziksel izolasyonu etkiliyor. Bu zafiyetlerin saldırganlar tarafından kötüye kullanımı, kişisel verilerin açığa çıkartılması ile sonuçlanabilir. Daha da önemlisi tek bir fiziksel cihaz üzerinde koşan sanal sistemlerin herhangi bir zafiyetten etkilenmesi ile fiziksel cihaz üzerinde koşan diğer sistemlerin hafıza alanına erişim sağlanabiliyor. Benzer şekilde bulut üzerinde çalışan sistemlerin de etkilenebileceği bazı raporlar içerisinde belirtiliyor. Zafiyetlerin tam manada giderilmesi için donanım düzeyinde çözümlere ihtiyaç duyuluyor. Konu ile ilgili olarak donanımsal çözümlerin kısa sürede uygulanabilir ve pratik olmayışı sebebiyle işletim sistemi seviyesinde bir takım önlem, yama ve güncellemeler yayınlandı. Bütün kullanıcı ve sistem yöneticilerinin kaynaklarda yer alan güncel bildirileri takip etmesi önemle tavsiye ediliyor.

USOM'un güvenlik bildiriminin devamı şu şekilde:

Genel Bilgi

Zafiyetlerin anlaşılabilmesi için çoğu işletim sistemlerinde bulunan kullanıcı/çekirdek (kernel) hafıza alanları ve erişim yöntemleri hakkında bilgi sahibi olunmalıdır. İşletim sistemlerinde çalışan her işlemin (processin) kendisine ait sanal bir hafıza alanı bulunmaktadır. Her sanal hafıza alanı hem kullanıcı hem de çekirdek hafıza alanı bölümlerinden oluşabilmektedir. Kullanıcı seviyesinde çalışan her işlem yalnızca kullanıcı hafıza alanına erişebilmekte olup, çekirdek seviyesinde olan hafıza alanları işletim sisteminin kendisi tarafından yönetilmektedir. Hem kullanıcı hem de çekirdek seviyesinde yapılan işlemler işlemci tarafından işlenmektedir. İşlemci seviyesinde çalışan komutlar (işlemci komut kümesinde bulunan komutlar) işletim sistemi tarafından işlemciye iletilmektedir. İşlemcileri daha hızlı hale getirmek için bazı özellikler donanım seviyesinde eklenmiştir. Out-of-order execution işlemcide çalışan komutların belli bir sıranın dışında çalışması anlamını taşımaktadır. Speculative Execution & Branch Prediction ise işlem içerisinde bulunan koşulların henüz gerçekleştirilmeden tahmin ile işleme sokularak hızlandırılması anlamını taşımaktadır. İşlemcilerin bu özelliklerinde bulunan zafiyetleri kullanarak side-channel, fault attack ve return-oriented programming (ROP) yöntemleri ile herhangi bir işleme ait hafıza alanına erişilerek veri okumak mümkün olmaktadır. Fiziksel hafıza alanına erişim ile tek bir işlemci üzerinde çalışan herhangi bir işleme ait (process) bilgiler elde edilebilmektedir.

Analiz

Bu kısım zafiyetlerin benzer ve farklı yönlerini ele alırken potansiyel risklerle ilgili öngörüleri içerir. Donanım tasarımı hatası sebebiyle 2 farklı saldırı senaryosu vardır;

Meltdown: Bu zafiyet 1995 yılından beri üretilen nerdeyse tüm Intel işlemcilerini etkilemektedir (2013 öncesi üretilen Intel Atom ve Intel Itanium hariç). Fiziksel hafızaya izinsiz olarak erişim sağlar. Saldırganların Meltdown zafiyeti üzerinden etki altındaki sistemlere, bulut sistemlere ve sanal makinalara erişimi ihtimal dahilindedir. Kullanıcı alanında iken çekirdek alanındaki veriler bu zafiyet ile okunabilmektedir.

Spectre: İşlemcilerin speculative execution and branch prediction özelliğini sömürüp kullanarak hafıza alanına erişim sağlamaktadır. Bu zafiyet ile işleme özel kritik veriler okunabilmektedir.

Her iki zafiyetin tetiklenmesi için hedef sistemde komut çalıştırma yetkisine sahip olunmalıdır. Spectre zafiyeti, JavaScript kodları ile sömürülebildiğinden dolayı web uygulamaları içerisinden tetiklenebilmektedir. Meltdown zafiyeti için işletim sistemi seviyesinde güncelleme gerekmektedir. Spectre zafiyeti içinse yazılımların güncellenmesi önem arz etmektedir.

Her iki zafiyetin kapanması için donanım seviyesinde çözümlere ihtiyaç bulunmaktadır.

Zafiyetler ile alakalı olarak üç adet CVE kodu bulunmaktadır. Bunlar aşağıda verilmiştir:

CVE-2017-5753 (Spectre)

CVE-2017-5715 (Spectre)

CVE-2017-5754 (Meltdown)

Öneriler

Ulusal Siber Olaylara Müdahale Merkezi (USOM), ilgili zafiyetlerin risk seviyelerini en aza indirmek için tarayıcılar başta olmak üzere, gerekli yazılımların ve işletim sistemi güncellemelerinin yapılmasını önemle tavsiye etmektedir.

ulusal.com.tr