Spectre漏洞Linux、Windows版攻击程式出现在VirusTotal平台
文/林妍溱 | 2021-03-03发表
Spectre漏洞出现3年后，Google研究人员发现针对Spectre漏洞的攻击程式，竟出现在
Google的扫瞄引擎VirusTotal上。Spectre涵括CVE-2017-5753（如上图标示）与
CVE-2017-5715，让骇客得以窃取系统内存内存放的机敏资料，其中又以前者风险最高
。
还记得2018年令全球企业恐慌的Meltdown、Spectre漏洞吗？在三年后，Google研究人员
发现针对Spectre漏洞的攻击程式，竟出现在Google的扫瞄引擎VirusTotal上。
Spectre和Meltdown于2018年1月由Google Project Zero首度揭露，针对CPU推测执行程序
里的3个漏洞进行的攻击手法。其中Spectre涵括CVE-2017-5753 与 CVE-2017-5715，让骇
客窃取系统内存内存放的机敏资料，其中又以前者风险最高。Meltdown则是针对
CVE-2017-5754的攻击手法。主要厂商包括英特尔、AMD及ARM的CPU都受影响。其后一年整
个PC软、硬件产业都忙着修补这些漏洞。
Google研究人员Julien Voisin发现，上个月似乎有人将Spectre的Linux和Windows版攻击
程式上传到了VirusTotal。现为Google持有的VirusTotal有超过50种扫毒引擎，供研究人
员或使用者上传档案判读是否有恶意程式。
Bleeping Computer报导，未授权用户可以利用这些开采程式在从目标系统的Windows或
Linux /etc/shadow档案，泄露出NT、LM密码杂凑以及Kerberos票证，后者可结合PsExec
以提升本地用户权限。此外，攻击程式也允许在Windows系统间横向移动。
Voisin指出，以Linux版本而言，攻击程式使用了数种手法来躲避侦测，也可让Linux保护
核心的安全机制KASLR（kernel address-space layout randomization，核心地址空间随
机变化）失效。在VirusTotal平台上，63个扫毒引擎中，仅25个侦测到Linux版的攻击程
式。至于Windows版本，70个引擎只有20个侦测到。
虽然Spectre是旧漏洞，处理器业者如英特尔、AMD与ARM，以及作业系统厂商包括微软、
Linux及苹果都已释出新版软件修补，但是使用旧版作业系统及5年以上（2015年Hasswell
以前的Intel）CPU的系统仍可能曝险。
https://www.ithome.com.tw/news/143010