侧信道攻击解释和 AD 安全影响

自 2018 年 1 月 4 日 Spectre 和 Meltdown 事件发布以来，CPU 侧通道攻击一直占据新闻头条。在这篇文章中，我们将定义旁路攻击、它们不是什么以及它们可能在哪些方面影响您的 Active Directory 安全。

自 1 月份以来，更多此类 CPU 攻击被发现并被披露，从 Spectre 变体到针对对称多线程 (SMT) 的新攻击（例如 TLBLeed 或最近发布的 PortSmash）。其中一些侧信道攻击技术更难以利用，并且考虑到需要排列的所有变量，不太可能发生，但其他技术（例如 PortSmash）可能会给当今的公共云用户带来更大的问题，并最终影响您的企业。活动目录安全。

什么是CPU旁路攻击？什么不是？

首先，我们来定义旁路攻击（SCA）。这种类型的攻击确实是一种艺术形式，因为它并不专注于利用加密操作中的漏洞（基于数学或软件中的错误进行解密），而是 SCA 使用硬件中的物理实现来解密加密密钥。

简而言之，观察。

更具体地说，攻击者将使用各种技术来观察共享物理系统中的功耗、电磁波、声音、缓存，或者在超线程、计时、硬件计算的情况下，以获得极其准确的密钥推断。

为了带大家了解这一点，请了解 1965 年英国军情五处特工如何使用侧信道观测来监视埃及驻伦敦大使馆的通信。他们将麦克风放置在埃及人使用的转子密码机附近，以监视埃及驻伦敦大使馆的通信情况。监控点击声，为他们提供足够的信息来帮助破解密码。

对于 CPU 旁道攻击，网络犯罪分子会观察 CPU 的进程，该部分处理操作系统内核的所有命令，例如打开浏览器并加载网页以登录银行。

什么不是侧信道攻击？

要对 SCA 进行更多定义，重要的是要了解它不是什么。 SCA 并不是试图通过获得合法访问权限来破坏密码系统。社会工程师或橡皮管密码分析（想象一下用橡皮管殴打某人以强迫他们给你金库钥匙）是寻求凭证的单独攻击。 SCA 会观察日常计算趋势和频率，以从服务器或笔记本电脑中提取私人信息。

侧信道攻击场景

A 公司有一个托管在公共云中的网站，客户可以访问该网站来登录其帐户。当客户访问网站时，他们会看到右上角的绿色挂锁，告诉他们从网站发送/接收的信息是安全的，不会被窥探。

黑客汉克 (Hank the Hacker) 也拥有同一公有云提供商的帐户，并且他的虚拟机恰好与 A 公司 Web 服务器的虚拟机位于同一台物理机上。他们的虚拟机共享相同的硬件资源；因此，Hank 使用各种旁路观察（例如上面列出的）来提取敏感信息，例如允许他解锁 A 公司网站与客户之间的安全通信的加密密钥。

旁路攻击技术的持久力

上述场景不仅在今天是真实存在的，而且随着人们将工作负载转移到公共云而变得越来越普遍。我可以在这里添加一些有关公共云消耗的统计数据，但是您明白了 - 您现在可能正在运行云项目。

但这不仅仅是 IaaS 情况下的共享虚拟机。新兴的云计算架构和开发模式正在增加资源共享。组织利用容器即服务产品（例如Azure Kubernetes Service）进行快速应用程序部署，或构建利用无服务器计算的云原生应用程序（例如Azure Functions）强>）绝对应该考虑旁道攻击如何影响他们的应用程序。

此外，虽然所有这些攻击听起来都非常复杂，并且看起来可能只有高度专业化和有针对性的不良行为者才能利用它们；现实情况是，通过研究人员、政府机构或坏人的工作，这些攻击变得更加精致和容易实现。事实上，这种攻击将被整合到 mimikatz 的工具包中，这样那些不太熟练的人就可以轻松地从沙发上发起这种攻击。

IT/安全顾问Hector Martin总结了侧信道攻击的困境和持久力：

是的，Spectre v1 和 PortSmash 不会消失。任何了解 CPU 的人都知道 PortSmash 理论上多年来都是可行的（只是有人费心最终实现了它）。默认情况下禁用 HT 或请求操作系统执行安全域感知 HT。

— 赫克托·马丁 (@marcan42) 2018 年 11 月 2 日

旁路攻击如何危害 Active Directory

因此，如果 SCA 的全部内容是观察而不是使用受损的凭据，那么您是否需要担心您的 Active Directory (AD)？

是的。

让我们详细分析一下 SCA 如何危害您的Active Directory 安全。

在 PortSmash 漏洞中，SCA 观察到在单核（同时多线程）上同时运行的两个程序的时序泄漏，以便提取用于私有互联网通信的 OpenSSL 密钥。

使用我们之前的示例，A 公司的网站（与黑客 Hank 的虚拟机一起托管在公共云中）采用使用 Active Directory 的单点登录，被盗的解密密钥将暴露通过互联网传递的 AD 凭据。

PortSmash 的这种情况可能是 Active Directory 的最大漏洞，因为不幸的是，有很多系统正在使用仅受 OpenSSL 保护的所谓“基本”身份验证。除 Web 服务器之外的其他系统可能会受到损害，但这是最容易实现的目标。

在另一种情况下，B 公司的域控制器与黑客 Hank 的 VM 位于同一公共云和同一物理机上（或者 DC 位于 Hank 作为物理机上的 VM 管理员具有访问权限的 VM 中）。使用 SCA，解密密钥可能会通过定时观察而泄露，并使 HAnk 能够访问 DC。

一旦 Hank 获得 AD 凭证，他就像 FLynn 一样，可以横向移动或提升权限，以内部人员的身份访问您的数据。

因此，当您了解旁道攻击或任何安全攻击时，重点总是归结为两个动机：窃取信息或破坏操作。 SCA 是攻击者获取您的 AD 并开始窃取数据或破坏您的系统的多种方式之一。

如何保护您的 Active Directory 免受旁道攻击

当然有一些方法可以减轻侧信道攻击，例如发出信道噪声来阻止声学密码分析或电力线调节，但在公共云的情况下，您无权采取这些对策。
您可以做以下几件事：

• 首先，放弃基本的用户名/密码身份验证，并使用双因素身份验证来增加攻击者无法访问的安全层。
• 使用来自其他来源（例如 Azure AD）的联合身份验证，而不是直接连接到宝贵的内部 AD。
• 通过基于人工智能的高级威胁检测来监控Active Directory 安全性，人工智能可以自行了解用户和系统的正常行为。通过这种方式，您可以消除误报并将可疑行为归零。
• 监视 vSphere 和 Hyper-V 的 VM 操作是否存在可疑活动，以及 Azure 活动日志以监视对订阅中的资源执行的操作。