Cảnh báo của Intel về Lỗ hổng cấp CPU ‘Không thể sửa chữa’ thậm chí có thể làm thỏa hiệp dữ liệu được lưu trữ trong đám mây
Tập đoàn Intel đã tiết lộ một lỗ hổng bảo mật khá nghiêm trọng nhưng khó khai thác. Khía cạnh đáng quan tâm nhất về lỗ hổng bảo mật là nó được nhúng trong kiến trúc bộ xử lý. May mắn thay, lỗi này khá khó khai thác với phần cứng và tài nguyên thường có sẵn. Tuy nhiên, hàng triệu PC chạy trên bộ vi xử lý Intel có từ năm 2011 hiện đang dễ bị tấn công.
Intel đã công bố một lỗ hổng bảo mật khác, rất tiếc là không thể sửa vĩnh viễn bằng các bản cập nhật Over The Air (OTA) hoặc flash BIOS. Lỗi này nằm ngay dọc theo dòng ‘Spectre’ và ‘Meltdown’, hai lỗi bảo mật chưa từng thấy được phát hiện vào năm ngoái. Những sai sót này về mặt lý thuyết đã cho phép tin tặc hoàn toàn vượt qua các rào cản bảo mật phần cứng truyền thống. Bằng cách vượt qua sự bảo mật dường như không thể xuyên thủng, các tác nhân bất chính có thể có khả năng truy cập vào dữ liệu một khi được cho là đã được giữ an toàn. Về cơ bản, dữ liệu nhạy cảm có thể được lấy ngay từ phần cứng khi nó đang được truy cập hoặc ghi.
Điều đáng lo ngại hơn nữa là lỗ hổng mới nhất, ngày càng được gọi là 'ZombieLoad', ở cấp CPU, có thể có khả năng xâm phạm dữ liệu được lưu trữ trên các máy chủ từ xa. Điều này là do ZombieLoad có thể được kích hoạt trong các máy ảo. Những máy tính mini giả lập này được cho là phải được cách ly với các hệ thống ảo khác và thiết bị chủ của chúng.
Lỗi này cho phép tin tặc khai thác hiệu quả các lỗi thiết kế. Tin tặc không cần phải tiêm mã độc. Intel đã chỉ ra rằng ZombieLoad bao gồm bốn lỗi riêng lẻ có thể được khai thác chung. Lỗ hổng này nằm sâu trong kiến trúc của phần cứng máy tính. Nhà sản xuất CPU đã đảm bảo rằng họ vẫn chưa tìm thấy bất kỳ bằng chứng nào về việc bất kỳ ai khai thác nó ngoài phòng thí nghiệm nghiên cứu.
Trong khi các CPU của Intel năm 2011 trở về sau dễ bị tấn công, công ty đã phát hành vi mã để vá các bộ xử lý dễ bị tấn công, bao gồm chip Intel Xeon, Intel Broadwell, Sandy Bridge, Skylake và Haswell. Hơn nữa, Intel được cho là đã làm việc với các công ty công nghệ hàng đầu như Google, Microsoft và Apple. Các công ty này đã phát hành các bản vá để giảm thiểu rủi ro. Các công ty khác dự kiến sẽ làm theo. Mặc dù người dùng cuối có thể không cảm thấy điều đó, nhưng các bản vá có thể làm giảm hiệu suất CPU từ 3 đến 9%.