Spectre漏洞Linux、Windows版攻击程式出现在VirusTotal平台

还记得2018年令全球企业恐慌的Meltdown、Spectre漏洞吗？在三年后，Google研究人员发现针对Spectre漏洞的攻击程式，竟出现在Google的扫描引擎VirusTotal上。

Spectre和Meltdown于2018年1月由Google Project Zero首度揭露，针对CPU推测执行程序里的3个漏洞进行的攻击手法。其中Spectre涵括CVE-2017-5753 与 CVE-2017-5715，让骇客窃取系统内存内存放的机敏资料，其中又以前者风险最高。Meltdown则是针对CVE-2017-5754的攻击手法。主要厂商包括英特尔、AMD及ARM的CPU都受影响。其后一年整个PC软、硬件产业都忙着修补这些漏洞。

Google研究人员Julien Voisin发现，上个月似乎有人将Spectre的Linux和Windows版攻击程式上传到了VirusTotal。现为Google持有的VirusTotal有超过50种扫毒引擎，供研究人员或使用者上传档案判读是否有恶意程式。

Bleeping Computer报导，未授权用户可以利用这些开采程式在从目标系统的Windows或Linux /etc/shadow档案，泄露出NT、LM密码杂凑以及Kerberos票证，后者可结合PsExec以提升本地用户权限。此外，攻击程式也允许在Windows系统间横向移动。

Voisin指出，以Linux版本而言，攻击程式使用了数种手法来躲避侦测，也可让Linux保护核心的安全机制KASLR（kernel address-space layout randomization，核心地址空间随机变化）失效。在VirusTotal平台上，63个扫毒引擎中，仅25个侦测到Linux版的攻击程式。至于Windows版本，70个引擎只有20个侦测到。

虽然Spectre是旧漏洞，处理器业者如英特尔、AMD与ARM，以及操作系统厂商包括微软、Linux及苹果都已释出新版软件修补，但是使用旧版操作系统及5年以上（2015年Hasswell以前的Intel）CPU的系统仍可能曝险。