北京時間1月4日早晨，微軟Azure平臺發出了一個緊急通知，“我們計劃在北京時間2018年1月4日上午11:30開始自動重啟剩余受影響的虛擬機”，微軟官方信息也同時發布出來。

在2018年1月3日，也就是24小時之前，谷歌Zero Project團隊提前披露了針對CPU（中央處理器）漏洞的相關信息（該團隊曾計劃於1月9日披露信息）。Project Zero是谷歌在2014年7月宣布的互聯網安全項目，該團隊主要由谷歌內部頂尖安全工程師組成，主要目的是發現、跟蹤和修補全球性的軟件安全漏洞。

幾乎無一幸免

對於剛披露的安全漏洞，Project Zero團隊針對Intel、AMD、ARM等公司的四款不同的CPU處理器，用三種方式變形方式進行攻擊，最終都可以讀取未經授權的內存數據。由於軟件是構架在硬件之上，因此Windows、Linux、iOS、Chrome、Android、Mac OS也受到影響，整個行業幾乎都被波及。

若幹月之前，安全研究人員發現現代處理器在設計上存在重大漏洞，普通權限用戶程序居然能夠識別受保護區的內核布局及內容。現代CPU主要采用了“推測執行技術（speculation execution）”，用於提高CPU的運算速度。簡單理解，CPU在執行計算任務時，並非是嚴格根據計算任務的順序進行執行指令，因為這樣會出現等待執行結果的時間浪費；而為了快速、提前以及並行解決問題，CPU會采用推測的方式，預測上一條指令的結果以及相應的下一條指令是什麽，從而提前做好準備。但是這個機制在檢查權限時出了問題，更為嚴重的是可能泄露了那些沒有結束運行的命令信息。

漏洞的危險性在於“信息泄露”。攻擊者可以通過一個虛擬用戶攻擊同一物理空間的其他虛擬用戶數據。只要存在這類漏洞，受保護的密碼、應用程序秘鑰等重要信息都不再安全，面臨隨時被竊取的風險。

這樣一來，如果雲平臺上被別有用心的人利用，完全有可能導致“使用雲服務的用戶能夠看到其他用戶的信息業務”。國外媒體認為“一個低權限的用戶用一段托管在網頁上的JavaScript代碼，就可以訪問內核內存”。更何況同一類型有三種不同的漏洞，都已經驗證可以實現該種攻擊。

其實谷歌Proejct Zero以及一些大學的團隊早前已經發現了該漏洞，但一直沒有公開，期間也沒有出現被攻擊的案例。這從一個方面說明，可能該漏洞過於“高精尖”並涉及到CPU和操作系統底層技術，迄今還沒有被黑客利用。隨著Project Zero的發現，該漏洞的消息逐漸在業界走漏，因此谷歌提前發布了該漏洞。

Azure在24小時內響應

微軟是最早響應該漏洞的公司，截止到北京時間2018年1月4日上午11:30，尚沒有收到任何用戶被攻擊的消息。實際上，微軟Azure早在幾周前就已經發出了Azure的計劃性維護通知，對虛擬機完成了維護，只要用戶按計劃進行維護，就不會受到任何影響。

不過此前微軟Azure的通知是需要用戶在1月9日前通過自助方式完成維護，而谷歌在24小時前剛發布了該漏洞的詳細信息，這對於目前還沒有自助完成維護的用戶來說可能會隨時受到影響。

經過對各方面影響的權衡和慎重考慮，本著“用戶安全至上”的宗旨，微軟Azure最後決定加快本次更新進度，從平臺層面完成修復。同時引入以下保障：

• 向所有Azure用戶通過銷售、博客、公告、郵件進行了緊急通知，第一時間讓用戶得知此問題的最新情況及解決進度。

• 期間嚴格遵守對可用性集、虛擬機規模集以及雲服務的SLA承諾。虛擬機上的操作系統磁盤和數據磁盤會在維護期間保持完好。

• Azure基礎設施在虛擬化引擎級別進行了更新，對CPU和磁盤讀寫進行優化。用戶不必更新Windows或Linux鏡像。大部分用戶不會在此次更新後觀察到到顯著的性能影響。

• 世紀互聯技術支持和運營團隊全員動員，與後臺團隊緊密合作，全夜無休地協助用戶解決升級過程中的問題，將影響降到最低。

目前，微軟Azure中國區數據中心更新已接近尾聲，幫助中國地區雲服務的用戶贏回了寶貴的時間。而對於其他廠商的軟硬件產品和雲平臺來說，用戶還需要及時咨詢獲取官方信息並行動起來，防範可能造成重大業務損失的全球性漏洞，以免成為攻擊者的犧牲品。

新的一年，從雲安全保護戰開始！

24小時！2018雲安全第一戰！