Как да защитите вашия компютър от недостатъците на Intel Foreshadow
Foreshadow, известен още като L1 Terminal Fault, е друг проблем със спекулативното изпълнение в процесорите на Intel. Позволява злонамерен софтуер да проникне в защитени зони, които дори недостатъците на Spectre и Meltdown не могат да се счупят.
Какво е Foreshadow?
По-конкретно, Foreshadow атакува функцията за софтуерни разширения на Intel (SGX). Това е вградено в чипове на Intel, за да позволи на програмите да създават сигурни “анклави”, които не могат да бъдат достъпни, дори и от други програми на компютъра. Дори ако зловредният софтуер беше на компютъра, той нямаше достъп до защитения анклав на теория. Когато бяха обявени Spectre и Meltdown, изследователите по сигурността установиха, че паметта, защитена от SGX, е най-вече имунизирана от атаките на Spectre и Meltdown..
Има и две свързани атаки, които изследователите на сигурността наричат "Foreshadow - Next Generation" или Foreshadow-NG. Те позволяват достъп до информация в режим на управление на системата (SMM), ядрото на операционната система или хипервизор на виртуална машина. На теория, код, изпълняван в една виртуална машина в системата, може да чете информация, съхранявана в друга виртуална машина в системата, въпреки че тези виртуални машини трябва да бъдат напълно изолирани.
Foreshadow и Foreshadow-NG, като Spectre и Meltdown, използват недостатъци в спекулативното изпълнение. Модерните процесори предполагат кода, който смятат, че може да тече следващия, и го изпълняват предварително, за да спестят време. Ако дадена програма се опитва да стартира кода, това е вече направено и процесорът знае резултатите. Ако не, процесорът може да изхвърли резултатите.
Това спекулативно изпълнение обаче оставя някаква информация. Например, на базата на това колко време се извършва спекулативния процес на изпълнение за изпълнение на определени видове заявки, програмите могат да изведат кои данни са в областта на паметта, дори ако не могат да получат достъп до тази област от паметта. Тъй като злонамерените програми могат да използват тези техники за четене на защитена памет, те дори могат да получат достъп до данни, съхранявани в кеша L1. Това е паметта от ниско ниво на процесора, където се съхраняват сигурни криптографски ключове. Ето защо тези атаки са известни и като "L1 Terminal Fault" или L1TF.
За да се възползвате от Foreshadow, нападателят просто трябва да може да изпълнява код на вашия компютър. Кодът не изисква специални разрешения - това може да бъде стандартна потребителска програма без достъп до ниско ниво на системата или дори софтуер, работещ във виртуална машина.
От обявяването на Spectre и Meltdown видяхме постоянен поток от атаки, които злоупотребяват със спекулативното изпълнение. Например атаката Speculative Store Bypass (SSB) засяга процесорите от Intel и AMD, както и някои ARM процесори. То бе обявено през май 2018 година.
Дали се използва в дивата природа?
Foreshadow е открита от изследователи по сигурността. Тези изследователи имат доказателство за концепцията - с други думи, функционална атака - но в момента не я освобождават. Това дава на всеки време да създава, освобождава и прилага патчи за защита срещу атаката.
Как можете да защитите вашия компютър
Имайте предвид, че само персонални компютри с Intel чипове са уязвими на Foreshadow на първо място. AMD чиповете не са уязвими към този недостатък.
Повечето компютри с Windows се нуждаят само от актуализации на операционната система, за да се предпазят от Foreshadow, според официалния съвет на Microsoft. Просто стартирайте Windows Update, за да инсталирате най-новите кръпки. Microsoft твърди, че не е забелязала загуба на производителност от инсталирането на тези пачове.
Някои компютри може също да се нуждаят от нов микрокод на Intel, за да се защитят. Според Intel това са същите обновявания на микрокодове, които бяха пуснати по-рано тази година. Можете да получите нов фърмуер, ако е достъпен за вашия компютър, като инсталирате най-новите актуализации на UEFI или BIOS от вашия компютър или от производителя на дънната платка. Можете също да инсталирате актуализации за микрокодове директно от Microsoft.
Какво трябва да знаят системните администратори
Компютри, работещи със софтуер за хипервизор за виртуални машини (например, Hyper-V), също ще се нуждаят от актуализации на този софтуер за хипервизор. Например, в допълнение към актуализацията на Microsoft за Hyper-V, VMWare пусна актуализация за своя софтуер за виртуална машина.
Системите, използващи Hyper-V или базирана на виртуализация сигурност, може да се нуждаят от по-драстични промени. Това включва деактивиране на хипер-резбата, което ще забави компютъра. Повечето хора няма да трябва да правят това, но администраторите на Windows Server, работещи с Hyper-V на процесорите на Intel, ще трябва сериозно да обмислят деактивирането на хипер-нишката в BIOS на системата, за да пазят виртуалните си машини безопасни.
Доставчиците на облаци като Microsoft Azure и Web Services на Amazon също кръстосват своите системи, за да защитят виртуалните машини от споделени системи от атака.
За други операционни системи може да са нужни и кръпки. Например Ubuntu пусна ъпдейт на ядрото на Linux, за да се предпази от тези атаки. Apple все още не е коментирала тази атака.
По-конкретно, CVE номерата, които идентифицират тези недостатъци, са CVE-2018-3615 за атака срещу Intel SGX, CVE-2018-3620 за атака върху операционната система и System Management Mode, и CVE-2018-3646 за атака върху мениджър на виртуална машина.
В блог пост Intel обяви, че работи върху по-добри решения за подобряване на производителността, като блокира експлоатацията, базирана на L1TF. Това решение ще приложи защитата само когато е необходимо, подобрявайки производителността. Intel съобщава, че вече предоставеният от него предварителен микропроцесор с тази функция пред някои партньори оценява освобождаването му.
И накрая, Intel отбелязва, че „L1TF също е обект на промени, които правим на хардуерно ниво.“ С други думи, бъдещите процесори на Intel ще съдържат хардуерни подобрения за по-добра защита срещу Spectre, Meltdown, Foreshadow и други спекулативни атаки, базирани на изпълнение по-малко загуба на производителност.
Кредит за изображения: Robson90 / Shutterstock.com, Foreshadow.