For noen uker siden rullet Microsoft raskt ut en lapp for å fikse Spectre og Meltdown sikkerhetsproblemer som henger igjen i Windows 7. Dessverre havnet ikke ting som planlagt fordi selskapets Meltdown-oppdatering faktisk utløste enda flere sikkerhetsproblemer.
Oppdateringen førte til flere feil på Windows 7, slik at alle apper på brukernivå kan lese innhold fra Windows-kjernen. Mer enn det, lappet muliggjør til og med skriving av data til kjerneminnet. Her er hva du trenger å vite om alt dette.
Her er hva Meltdown-oppdateringen utløste i Windows 7
Ulf Frisk, den svenske eksperten på IT-sikkerhet, oppdaget hullet som denne siste oppdateringen fra Microsoft utløser. Han gjorde det mens han jobbet med PCILeech, som er en enhet han laget for noen år siden, og som utfører DMA-angrep (Direct Memory Access) og også dumper beskyttet OS-minne.
Ifølge denne eksperten klarte Microsofts Meltdown-oppdatering for CVE-2-17-5754 å forårsake en feil i biten som ved et uhell styrer kjerneminnets tilgangstillatelse. Frisk åpnet blogginnlegget sitt ved å skrive:
Møt Windows 7 Meltdown-oppdateringen fra januar. Det stoppet Meltdown, men åpnet en sårbarhet enda verre... Det tillot enhver prosess å lese fullstendig minneinnhold med gigabyte per sekund, oh - det var mulig å skrive til vilkårlig minne som vi vil.
Ingen fancy utnyttelser var nødvendig. Windows 7 gjorde allerede det harde arbeidet med å kartlegge det nødvendige minnet i hver prosess som kjører. Utnyttelse var bare et spørsmål om lese og skrive til allerede kartlagt virtuelt minne. Ingen fancy API-er eller syscalls kreves - bare standard lese og skrive!
Frisk fortsatte og forklarte atTillatelsesbit for bruker / veileder ble satt i PML4-selvhenvisende oppføring, ”Og dette utløste tilgjengeligheten av sidetabeller til brukermoduskode i alle prosesser.
- I SLEKT: Intels 8. generasjons prosessorer gir en ny maskinvaredesign for å blokkere Spectre & Meltdown
Disse sidetabellene skal bare være tilgjengelige via kjernen under normale forhold. PML4 brukes av CPU Memory Management Unit for å oversette virtuelle adresser til prosesser til fysiske minneadresser i RAM.
Microsoft oppdaterer problemet med Patch Tuesday-utgivelsen i mars 2018
Ifølge den svenske eksperten ser det ut til at problemet bare har påvirket 64-biters versjoner av Windows 7 og Windows Server 2008 R2. Microsoft løste feilen ved å vende PML4-tillatelsen tilbake til den opprinnelige verdien i March’s Patch Tuesday. Det ser ut til at Windows 8.1- eller Windows 10-datamaskiner ikke påvirkes av dette problemet.
RELATERTE HISTORIER FOR Å KONTROLLERE:
- AMD bekrefter feil funnet av CTS-labs; lover lapper med reparasjoner
- Intel sier at du ikke skal installere Spectre og Meltdown-oppdateringer
- 100% løsning: VPN fungerer ikke på Windows 7-datamaskiner
