在线发现了第一个完全武器化的幽灵漏洞

上个月在恶意软件扫描网站VirusTotal上上传了针对Spectre CPU漏洞的完全武器利用程序，这是一种能够进行实际破坏的有效利用程序第一次进入了公共领域。

该漏洞是由法国安全研究员朱利安·沃伊辛（Julien Voisin）发现的。它针对Spectre，这是2018年1月披露的一个主要漏洞。

根据其网站，Spectre错误是Intel，AMD和ARM处理器体系结构中的硬件设计缺陷，它允许运行在不良应用程序中的代码破坏CPU级别不同应用程序之间的隔离，然后从其他应用程序中窃取敏感数据。在同一系统上运行。

该漏洞因当年最佳安全漏洞发现之一而于2018年获得Pwnie奖，被认为是现代CPU演进和历史上的里程碑时刻。

它的发现以及Meltdown错误，有效地迫使CPU供应商重新考虑他们设计处理器的方法，从而明确表明他们不能只专注于性能，而损害了数据安全性。

当时发布了软件补丁，但是Meltdown和Spectre的披露迫使英特尔重新考虑其整个CPU设计方法。

当时，Meltdown和Spectre错误的背后的团队以研究论文和一些琐碎的概念验证代码的形式发布了他们的工作，以证明他们的攻击。

在Meltdown和Spectre发布之后不久，AV-TEST，Fortinet和Minerva Labs的专家发现了这两个CPU错误的VirusTotal上传数量激增。

最初人们担心恶意软件作者可能会尝试使用这两个bug来窃取目标系统中的数据，但该漏洞被归类为Meltdown和Spectre研究人员发布的公共PoC代码的无害变体，但没有发现证据野外攻击。

Meltdown和Spectre似乎总是存在漏洞，对于大多数人和组织来说，治愈方法都比疾病还差。 https://t.co/aPOvGD2GSF

-Martijn Grooten（@martijn_grooten）2018年3月28日

但是今天，Voisin说，他发现了Spectre的新漏洞-一种用于Windows，另一种用于Linux-与以前不同。 Voisin特别指出，他发现了一种Linux Spectre漏洞利用程序，可以利用转储/ etc / shadow的内容的功能，该文件是一个Linux文件，用于存储OS用户帐户的详细信息。

这种行为显然是恶意的；但是，没有证据表明该漏洞利用是在野外使用的，因为渗透测试人员也可能将该漏洞上传到了VirusTotal。

但是Voisin的发现最有趣的部分是他博客的最后一段，他暗示他可能已经发现谁可能是这种新Spectre攻击的幕后黑手。

法国安全研究员在一个神秘的结局中说：“归因是微不足道的，留给读者练习。”

但是，尽管Voisin不想说出漏洞利用程序的作者，但有几个人并不那么害羞。 Twitter和新闻聚合服务HackerNews的安全专家很快发现，新的Spectre漏洞利用可能是由Immunity Inc.开发的渗透测试工具CANVAS的模块。

“如果您是付费订户，则可以从VirusTotal获得更多（信息）。一名HackerNews用户说：“其中之一就是您可以查看哪些文件是样本的“父级”。

“在这种情况下，有一堆包含此文件的zip文件，全部名为Immunity Canvas或类似名称。 Canvas是他们发布漏洞利用程序的一种渗透测试工具，所以我想他是说您可以将其归因于Immunity。”

在本文发表之前，Immunity发言人没有回复唱片公司的评论请求，以确认上个月在VirusTotal上载的Spectre漏洞确实是Canvas模块。

然而，在今天戴维·艾特尔（Dave Aitel）的推文中，前Immunity首席执行官似乎证实了Voisin的发现确实是他的前任公司在2018年2月大力宣传的CANVAS Spectre模块。

只是一些您可能会感兴趣的随机视频！ 🙂https://t.co/bc6BfMLi4P

— daveaitel（@daveaitel）2021年3月1日

对于那些一直在问的人，我们的Canvas Early Update客户现在可以使用我们的SPECTER漏洞转储/ etc / shadow。 https://t.co/CEqGfTXa2R #spectre #meltdown pic.twitter.com/SbESP69Fo6

— Immunity Inc.（@Immunityinc）2018年2月1日

对于行业专家而言，Immunity具有可正常工作且具有完全武器化的Spectre漏洞的事实并不令人惊讶，因为Aitel的公司还是最早在2019年针对BlueKeep漏洞进行了完全武器化利用的公司之一，该公司在2019年公开发布了该广告。时间，以夸耀CANVAS出色的渗透测试功能。

现在，此Spectre漏洞利用程序的副本正在安全研究人员管理的Discord和Telegram频道中巡回演出，直到它们进入GitHub并广泛地提供给所有人（包括恶意软件作者），这只是时间问题。

如果可以将漏洞利用代码作为实际攻击的一部分进行武器处理，这仍然不是一个常有的漏洞，但仍有待观察，但进入公有领域的现成漏洞利用通常会被滥用，因为威胁威胁者更容易适应别人编写的代码，而不是从头开始编写自己的代码。

Voisin的发现与幽灵世界末日的时钟几乎可以接近，如果袭击尚未发生，它可以在进行攻击之前的午夜附近滴答作响。