У чипов Intel обнаружена уязвимость Downfall — она позволяет воровать пароли через инструкции AVX2 и AVX-512

Облачные серверы и корпоративные дата-центры по всему миру столкнулись с новой угрозой безопасности: исследователь из команды Google Project Zero обнаружил критическую уязвимость в процессорах Intel, получившую название Downfall. Эта аппаратная проблема позволяет злоумышленнику, работающему на том же физическом ядре, что и жертва, извлекать из памяти конфиденциальные данные — от паролей и банковской информации до ключей шифрования. В отличие от многих предыдущих уязвимостей, Downfall не требует сложных условий эксплуатации и демонстрирует высокую эффективность в лабораторных тестах, что ставит под удар в первую очередь многопользовательские облачные инфраструктуры.

Downfall: Атака на аппаратный уровень через инструкции AVX

В основе уязвимости лежит механизм работы векторных инструкций AVX2 и AVX-512, которые используются для ускорения обработки больших массивов данных. Исследователь Дэниел Могими выяснил, что инструкция gather, предназначенная для оптимизации доступа к разрозненным данным в памяти, непреднамеренно «сливает» содержимое временного буфера между разными потоками, выполняющимися на одном ядре. Это позволяет атакующему процессу «подслушивать» данные, которые обрабатывает соседний поток, включая криптографические ключи и личную переписку.

Техники эксплуатации: GDS и GVI

Могими разработал два вектора атаки. Первый — Gather Data Sampling (GDS) — позволяет напрямую считывать данные из чужих векторных регистров. Второй, более сложный — Gather Value Injection (GVI), комбинирует GDS с техникой Load Value Injection, что потенциально расширяет возможности злоумышленника по внедрению ложных данных. В ходе эксперимента исследователю удалось извлечь 128- и 256-битные ключи шифрования AES менее чем за 10 секунд, работая с виртуальной машиной, изолированной на соседнем потоке того же ядра.

Масштаб угрозы: от Skylake до Alder Lake

Под удар попал широкий спектр процессоров Intel, выпущенных за последние годы. В зоне риска находятся чипы на архитектурах от Skylake до Ice Lake и Tiger Lake, включая серверные решения. Примечательно, что уязвимость не затронула актуальные процессоры Sapphire Rapids и, по имеющимся данным, линейку Raptor Lake. Однако огромный парк устаревшего оборудования в дата-центрах и на пользовательских ПК остается незащищенным до момента установки обновления микрокода.

Intel уже выпустила патч, который частично нейтрализует угрозу программными методами. Обновление будет включено по умолчанию во всех операционных системах. Однако у администраторов остается возможность отключить защиту, если производительность для конкретных задач критичнее безопасности.

Влияние на производительность и облачный сектор

Компания признает, что исправление может существенно замедлить работу систем, активно использующих инструкции AVX-512. Этот набор команд является ключевым для высокопроизводительных вычислений (HPC), научных расчетов и некоторых серверных нагрузок. В Intel отмечают, что для большинства офисных и домашних сценариев падение производительности будет незаметным, однако для HPC-сегмента оно может быть ощутимым.

Наибольший риск атаки Downfall существует именно в облачной среде. Если на одном физическом ядре работают виртуальные машины разных клиентов, злоумышленник теоретически может получить доступ к данным соседнего арендатора. В настольных системах, где пользователь, как правило, единственный, угроза значительно ниже. Администраторам облачных платформ предстоит принять сложное решение: либо отключить защиту ради максимальной производительности, либо мириться с потенциальным снижением скорости работы HPC-задач.

В последние годы Intel неоднократно сталкивалась с уязвимостями, связанными со спекулятивным выполнением инструкций (Spectre, Meltdown). Downfall является очередным звеном в этой цепочке, демонстрируя, что фундаментальные аппаратные архитектуры по-прежнему содержат скрытые бреши, которые могут быть использованы для утечки данных.

Данная ситуация вновь поднимает вопрос о балансе между производительностью и безопасностью в современных процессорах. С одной стороны, Intel позиционирует AVX-512 как конкурентное преимущество для серверного и HPC-сегмента, с другой — именно эти «ускорители» становятся источником новых угроз. Для корпоративных клиентов это означает необходимость более тщательного аудита используемого оборудования и внедрения политик изоляции рабочих нагрузок, особенно в средах с высокой степенью мультиарендности.