北京时间1月4日早晨,微软Azure平台发出了一个紧急通知,“我们计划在北京时间2018年1月4日上午11:30开始自动重启剩余受影响的虚拟机”,微软官方信息也同时发布出来。
在2018年1月3日,也就是24小时之前,谷歌Zero Project团队提前披露了针对CPU(中央处理器)漏洞的相关信息(该团队曾计划于1月9日披露信息)。Project Zero是谷歌在2014年7月宣布的互联网安全项目,该团队主要由谷歌内部顶尖安全工程师组成,主要目的是发现、跟踪和修补全球性的软件安全漏洞。
几乎无一幸免
对于刚披露的安全漏洞,Project Zero团队针对Intel、AMD、ARM等公司的四款不同的CPU处理器,用三种方式变形方式进行攻击,最终都可以读取未经授权的内存数据。由于软件是构架在硬件之上,因此Windows、Linux、iOS、Chrome、Android、Mac OS也受到影响,整个行业几乎都被波及。
若干月之前,安全研究人员发现现代处理器在设计上存在重大漏洞,普通权限用户程序居然能够识别受保护区的内核布局及内容。现代CPU主要采用了“推测执行技术(speculation execution)”,用于提高CPU的运算速度。简单理解,CPU在执行计算任务时,并非是严格根据计算任务的顺序进行执行指令,因为这样会出现等待执行结果的时间浪费;而为了快速、提前以及并行解决问题,CPU会采用推测的方式,预测上一条指令的结果以及相应的下一条指令是什么,从而提前做好准备。但是这个机制在检查权限时出了问题,更为严重的是可能泄露了那些没有结束运行的命令信息。
漏洞的危险性在于“信息泄露”。攻击者可以通过一个虚拟用户攻击同一物理空间的其他虚拟用户数据。只要存在这类漏洞,受保护的密码、应用程序秘钥等重要信息都不再安全,面临随时被窃取的风险。
这样一来,如果云平台上被别有用心的人利用,完全有可能导致“使用云服务的用户能够看到其他用户的信息业务”。国外媒体认为“一个低权限的用户用一段托管在网页上的JavaScript代码,就可以访问内核内存”。更何况同一类型有三种不同的漏洞,都已经验证可以实现该种攻击。
其实谷歌Proejct Zero以及一些大学的团队早前已经发现了该漏洞,但一直没有公开,期间也没有出现被攻击的案例。这从一个方面说明,可能该漏洞过于“高精尖”并涉及到CPU和操作系统底层技术,迄今还没有被黑客利用。随着Project Zero的发现,该漏洞的消息逐渐在业界走漏,因此谷歌提前发布了该漏洞。
Azure在24小时内响应
微软是最早响应该漏洞的公司,截止到北京时间2018年1月4日上午11:30,尚没有收到任何用户被攻击的消息。实际上,微软Azure早在几周前就已经发出了Azure的计划性维护通知,对虚拟机完成了维护,只要用户按计划进行维护,就不会受到任何影响。
不过此前微软Azure的通知是需要用户在1月9日前通过自助方式完成维护,而谷歌在24小时前刚发布了该漏洞的详细信息,这对于目前还没有自助完成维护的用户来说可能会随时受到影响。
经过对各方面影响的权衡和慎重考虑,本着“用户安全至上”的宗旨,微软Azure最后决定加快本次更新进度,从平台层面完成修复。同时引入以下保障:
- 向所有Azure用户通过销售、博客、公告、邮件进行了紧急通知,第一时间让用户得知此问题的最新情况及解决进度。
- 期间严格遵守对可用性集、虚拟机规模集以及云服务的SLA承诺。虚拟机上的操作系统磁盘和数据磁盘会在维护期间保持完好。
- Azure基础设施在虚拟化引擎级别进行了更新,对CPU和磁盘读写进行优化。用户不必更新Windows或Linux镜像。大部分用户不会在此次更新后观察到到显著的性能影响。
- 世纪互联技术支持和运营团队全员动员,与后台团队紧密合作,全夜无休地协助用户解决升级过程中的问题,将影响降到最低。
目前,微软Azure中国区数据中心更新已接近尾声,帮助中国地区云服务的用户赢回了宝贵的时间。而对于其他厂商的软硬件产品和云平台来说,用户还需要及时咨询获取官方信息并行动起来,防范可能造成重大业务损失的全球性漏洞,以免成为攻击者的牺牲品。
新的一年,从云安全保护战开始!
原文地址:http://blog.51cto.com/cloudtechtime/2057883