Baru-baru ini diterbitkan rincian tentang dua kerentanan bernama Meltdown dan Spectre yang mempengaruhi “setiap prosesor yang dirilis sejak 1995.”
Google mengatakan dua kerentanan tersebut dapat dimanfaatkan untuk “mencuri data yang saat ini diproses di komputer,” yang mencakup “kata sandi yang tersimpan di pengelola kata sandi atau browser, foto pribadi, email, pesan instan dan bahkan dokumen penting bisnis.“
Selanjutnya, Google mengatakan bahwa percobaan pada mesin virtual yang digunakan dalam lingkungan komputasi cloud bisa mengekstrak data dari host lain yang menggunakan server yang sama.
Kerentanan ditemukan oleh Jann Horn, seorang peneliti keamanan dari Google Project Zero, tim keamanan elit Google, dan didasarkan pada penelitian akademis sebelumnya yang diterbitkan oleh para periset dari Universitas Teknologi Graz, Teknologi Cyberus, dan lain-lain, semuanya adalah kerentanan yang sama. Yang mana semuanya mempengaruhi CPU Intel.
Masalah digambarkan sebagai kerentanan perangkat keras yang memerlukan perbaikan perangkat lunak
Masalah yang terjadi saat ini menyangkut dua skenario serangan yang ditemukan Horn dan dilaporkan ke vendor CPU pada bulan Juni 2017.
Horn menjelaskan masalah ini sebagai kerentanan perangkat keras yang memerlukan patch firmware dari vendor CPU dan perbaikan perangkat lunak dari vendor OS serta aplikasi.
Menurut Google, yang terpengaruh oleh kerentanan ini hampir semua orang, termasuk semua vendor chipset utama (Intel, AMD, ARM), semua sistem operasi utama (Windows, Linux, macOS, Android, ChromeOS), penyedia cloud (Amazon, Google, Microsoft), dan pembuat aplikasi.
Kerentanan ditemukan dalam CPU “speculative execution”
Kerentanan sebenarnya berada pada teknik yang disebut “speculative execution” yang digunakan oleh semua CPU modern. Ini adalah teknik optimasi dasar yang digunakan prosesor untuk melakukan penghitungan data yang mereka spekulasikan mungkin berguna di masa mendatang.
Tujuan speculative execution adalah menyiapkan hasil perhitungan dan menyiapkannya jika memang dibutuhkan. Jika sebuah aplikasi tidak memerlukan data spekulasi tersebut, CPU hanya akan mengabaikannya.
Google mengatakan bahwa Horn menemukan cara menggunakan speculative execution untuk membaca data dari memori CPU yang seharusnya belum tersedia untuk aplikasi tingkat pengguna.
Total ditemukan tiga kerentanan yang dikombinasikan dalam dua serangan, bernama Meltdown (CVE-2017-5754) dan Spectre (CVE-2017-5753 dan CVE-2017-5715).
Apa itu Meltdown dan Spectre?
Google menggambarkan dua serangan tersebut sebagai berikut:
- Meltdown memecahkan isolasi paling mendasar antara aplikasi pengguna dan sistem operasi. Serangan ini memungkinkan sebuah program untuk mengakses memori, dan dengan demikian juga hal rahasia, program lain dan sistem operasi.
- Spectre membuat break isolasi antara aplikasi yang berbeda. Hal ini memungkinkan penyerang untuk mengelabui program bebas dari error, yang mengikuti praktik terbaik, untuk membocorkan rahasia. Sebenarnya, pemeriksaan keamanan praktik terbaik tersebut benar-benar meningkatkan permukaan serangan dan mungkin membuat aplikasi lebih rentan terhadap spectre.
Mendeteksi Meltdown dan Spectre akan sulit
Google mengatakan bahwa mendeteksi serangan yang memanfaatkan kedua teknik ini hampir tidak mungkin dilakukan saat ini.
“Eksploitasi tidak meninggalkan bekas apapun dalam file log tradisional,” kata Google, menambahkan bahwa meski memungkinkan secara teori, produk antivirus tidak akan dapat mendeteksi serangan tersebut dalam praktiknya.
Karena itu, Google tidak dapat menetapkan apakah Meltdown atau Spectre pernah digunakan dalam skenario eksploitasi langsung di alam bebas.
Pada saat pengumuman kerentanan ini, kebanyakan pembuat OS telah menerapkan patch. Linux, MacOS, dan Android telah merilisnya, sementara Microsoft dijadwalkan untuk merilis perbaikan minggu depan di patch Selasa. Penyedia cloud sudah dijadwalkan untuk memperbarui infrastruktur mereka minggu ini dan minggu berikutnya.
Sebagian besar CPU yang diluncurkan sejak 1995 rentan dalam beberapa hal
Pada saat penulisan, Google meyakini bahwa “setiap prosesor Intel yang menerapkan eksekusi out-of-order berpotensi terpengaruh, yang secara efektif setiap prosesor sejak 1995 (kecuali Intel Itanium dan Intel Atom sebelum 2013)” terpengaruh oleh Meltdown.
Google mengatakan bahwa hal itu membuktikan Meltdown hanya berdampak terhadap CPU Intel, namun bukan ARM dan AMD. Meskipun demikian, Intel memiliki pangsa pasar lebih dari 80% di desktop dan lebih dari 90% di pasar laptop dan server, yang berarti bahwa sejumlah besar komputer desktop, laptop, dan server terpengaruh.
Dampak Meltdown terhadap perangkat seluler tidak diketahui, namun patch sudah tersedia untuk Android.
Google mengatakan bahwa mereka telah menguji dan memverifikasi Spectre terhadap prosesor Intel, AMD, dan ARM, dan serangan tersebut menyerang komputer desktop, laptop, server cloud, dan smartphone. Serangan tersebut juga diyakini mempengaruhi hampir semua CPU yang dirilis dalam beberapa tahun terakhir.
Untuk pengguna yang cenderung teknis, makalah penelitian akademis kerentanan Meltdown dan Spectter juga sudah tersedia di:
- Meltdown: https://meltdownattack.com/meltdown.pdf
- Spectre: https://spectreattack.com/spectre.pdf
