Spectre漏洞Linux、Windows版攻擊程式出現在VirusTotal平臺
文/林妍溱 | 2021-03-03發表
Spectre漏洞出現3年後，Google研究人員發現針對Spectre漏洞的攻擊程式，竟出現在
Google的掃瞄引擎VirusTotal上。Spectre涵括CVE-2017-5753（如上圖標示）與
CVE-2017-5715，讓駭客得以竊取系統記憶體內存放的機敏資料，其中又以前者風險最高
。
還記得2018年令全球企業恐慌的Meltdown、Spectre漏洞嗎？在三年後，Google研究人員
發現針對Spectre漏洞的攻擊程式，竟出現在Google的掃瞄引擎VirusTotal上。
Spectre和Meltdown於2018年1月由Google Project Zero首度揭露，針對CPU推測執行程序
裏的3個漏洞進行的攻擊手法。其中Spectre涵括CVE-2017-5753 與 CVE-2017-5715，讓駭
客竊取系統記憶體內存放的機敏資料，其中又以前者風險最高。Meltdown則是針對
CVE-2017-5754的攻擊手法。主要廠商包括英特爾、AMD及ARM的CPU都受影響。其後一年整
個PC軟、硬體產業都忙著修補這些漏洞。
Google研究人員Julien Voisin發現，上個月似乎有人將Spectre的Linux和Windows版攻擊
程式上傳到了VirusTotal。現為Google持有的VirusTotal有超過50種掃毒引擎，供研究人
員或使用者上傳檔案判讀是否有惡意程式。
Bleeping Computer報導，未授權用戶可以利用這些開採程式在從目標系統的Windows或
Linux /etc/shadow檔案，洩露出NT、LM密碼雜湊以及Kerberos票證，後者可結合PsExec
以提升本地用戶權限。此外，攻擊程式也允許在Windows系統間橫向移動。
Voisin指出，以Linux版本而言，攻擊程式使用了數種手法來躲避偵測，也可讓Linux保護
核心的安全機制KASLR（kernel address-space layout randomization，核心地址空間隨
機變化）失效。在VirusTotal平臺上，63個掃毒引擎中，僅25個偵測到Linux版的攻擊程
式。至於Windows版本，70個引擎只有20個偵測到。
雖然Spectre是舊漏洞，處理器業者如英特爾、AMD與ARM，以及作業系統廠商包括微軟、
Linux及蘋果都已釋出新版軟體修補，但是使用舊版作業系統及5年以上（2015年Hasswell
以前的Intel）CPU的系統仍可能曝險。
https://www.ithome.com.tw/news/143010