最近的网络安全研究中发现,英特尔和AMD的CPU处理器曝出了安全漏洞,利用该漏洞远程攻击者可以通过电源侧信道攻击来窃取加密密钥。
网络安全研究人员将该漏洞命名为HERTZBLEED,漏洞的根源在于动态电压和频率缩放 ( DVFS ),这是一种处理器的电源和热管理功能,用于保持处理器的功率并减少芯片的发热量。
在某些情况下,周期性的 CPU 频率调整取决于当前的 CPU 功耗,而这些调整直接转化为执行时间差异(如 1 赫兹 = 1 个周期每秒),即使正确实施为恒定时间代码以防止基于时间的侧信道,这也可能对加密库产生重大的安全影响,从而有效地使攻击者能够利用执行时间变化来提取敏感信息,例如加密密钥等。
根据中国网络安全行业门户极牛网(GEEKNB.COM)的梳理,该漏洞已被英特尔和AMD进行针对性调查并发布了公告,在英特尔的漏洞号为CVE-2022-24436,在AMD的漏洞号为CVE-2022-23823,英特尔表示目前所有的INTEL处理器都受到该 HERTZBLEED 漏洞的影响,目前英特尔和AMD均表示没有修补方案。
由于该漏洞影响具有基于功率分析的侧信道泄漏的加密算法,因此开发人员可以对算法的软件层代码实现进行一定的防护措施,可以通过使用隐藏密钥或密钥轮换来缓解攻击风险。
英特尔表示该漏洞无法在实验环境之外被利用,这不是第一次发现从英特尔处理器中抽取数据的攻击手段,本次HERTZBLEED漏洞的研究人员在去年展示了针对英特尔 COFFEE LAKE 和 SKYLAKE 处理器中使用的环形互连的侧信道攻击方法。