Kaip apsaugoti kompiuterį nuo „Intel Foreshadow“ trūkumų
„Foreshadow“, taip pat žinomas kaip „L1 Terminal Fault“, yra dar viena spekuliacinio vykdymo problema „Intel“ procesoriuose. Jis leidžia kenkėjiškajai programinei įrangai įsilaužti į saugias zonas, kuriose netgi „Spectre“ ir „Meltdown“ trūkumai negalėjo įtrūkti.
Kas yra Foreshadow?
Konkrečiai, „Foreshadow“ atakuoja „Intel“ programinės įrangos apsaugos plėtinių (SGX) funkciją. Tai yra integruota į „Intel“ lustą, kad programos sukurtų saugias „anklavas“, kurių negalima pasiekti net ir kitose kompiuterio programose. Net jei kompiuteryje buvo kenkėjiškų programų, ji negalėjo pasiekti saugios anklavos teorijos. Kai buvo paskelbta „Spectre and Meltdown“, saugumo tyrėjai nustatė, kad SGX apsaugota atmintis dažniausiai buvo apsaugota nuo Spectre ir Meltdown atakų.
Taip pat yra du susiję išpuoliai, kuriuos saugumo tyrėjai vadina „Foreshadow - Next Generation“ arba Foreshadow-NG. Tai leidžia naudotis informacija Sistemos valdymo režime (SMM), operacinės sistemos branduolyje arba virtualiosios mašinos hipervizoriuje. Teoriškai, vienoje virtualioje mašinoje sistemoje veikiantis kodas galėtų skaityti informaciją, saugomą kitoje virtualioje mašinoje, net jei tos virtualios mašinos turėtų būti visiškai izoliuotos.
„Foreshadow“ ir „Foreshadow-NG“, pvz., „Specter“ ir „Meltdown“, naudoja spekuliacinio vykdymo trūkumus. Šiuolaikiniai procesoriai atspindi kodą, kuris, jų manymu, gali eiti toliau, ir iš anksto vykdyti jį, kad sutaupytų laiko. Jei programa bando paleisti kodą, jis jau yra atliktas, o procesorius žino rezultatus. Jei ne, procesorius gali išmesti rezultatus.
Tačiau šis spekuliacinis vykdymas palieka šiek tiek informacijos. Pvz., Atsižvelgiant į tai, kiek laiko spekuliacinis vykdymo procesas trunka tam tikrų tipų užklausoms atlikti, programos gali daryti išvadą, kokie duomenys yra atminties srityje, net jei jie negali pasiekti tos atminties srities. Kadangi kenkėjiškos programos gali naudoti šiuos metodus, kad galėtų perskaityti apsaugotą atmintį, jos netgi gali pasiekti L1 talpykloje saugomus duomenis. Tai žemo lygio atmintis CPU, kurioje saugomi saugūs kriptografiniai raktai. Štai kodėl šie išpuoliai taip pat žinomi kaip „L1 Terminal Fault“ arba L1TF.
Norint pasinaudoti „Foreshadow“, užpuolikas tiesiog turi turėti galimybę paleisti kodą kompiuteryje. Kodas nereikalauja specialių leidimų - tai gali būti standartinė vartotojo programa, neturinti žemo lygio sistemos prieigos arba net programinė įranga, veikianti virtualioje mašinoje.
Nuo Spectre ir Meltdown paskelbimo matėme nuolatinį atakų srautą, kuris piktnaudžiauja spekuliaciniais vykdymo funkcionalumais. Pavyzdžiui, spekuliacinis parduotuvės aplinkkelis (SSB) atakuoja paveiktus „Intel“ ir „AMD“ procesorius, taip pat kai kuriuos ARM procesorius. Jis buvo paskelbtas 2018 m. Gegužės mėn.
Ar lauke naudojama „Foreshadow“?
Foreshadow atrado saugumo tyrėjai. Šie mokslininkai turi koncepcijos įrodymą, kitaip tariant, funkcinį išpuolį, tačiau šiuo metu jie neatleidžia. Tai suteikia visiems laiko kurti, paleisti ir taikyti pleistrus, kad būtų apsaugoti nuo atakos.
Kaip galite apsaugoti savo kompiuterį
Atkreipkite dėmesį, kad „Foreshadow“ pirmiausia yra pažeidžiami tik kompiuteriai su „Intel“ lustais. AMD lustai nėra pažeidžiami dėl šio trūkumo.
Daugeliui „Windows“ kompiuterių operacinės sistemos atnaujinimai reikalingi tik apsaugant save nuo „Foreshadow“, atsižvelgiant į oficialų „Microsoft“ saugumo patarimą. Tiesiog įdiekite „Windows Update“, kad įdiegtumėte naujausius pataisymus. „Microsoft“ teigia, kad nepastebėjo jokio našumo praradimo diegiant šiuos pataisus.
Kai kuriems kompiuteriams taip pat gali prireikti naujo „Intel“ mikrokodo, kad apsaugotų save. „Intel“ sako, kad tai yra tie patys mikrokodų atnaujinimai, kurie buvo išleisti anksčiau šiais metais. Galite įsigyti naują programinę įrangą, jei ji prieinama jūsų kompiuteriui, įdiegdami naujausius UEFI arba BIOS atnaujinimus iš savo kompiuterio ar pagrindinės plokštės gamintojo. Taip pat galite įdiegti mikrokodų naujinimus tiesiogiai iš „Microsoft“.
Kokie sistemos administratoriai turi žinoti
Kompiuteriams, kuriuose veikia hipervizoriaus programinė įranga virtualiosioms mašinoms (pvz., „Hyper-V“), reikės atnaujinti tos hipervizoriaus programinės įrangos. Pavyzdžiui, be „Microsoft“ naujinimo „Hyper-V“, „VMWare“ išleido savo virtualios mašinos programinės įrangos naujinimą.
Sistemoms, kuriose naudojama „Hyper-V“ arba virtualizacija, gali reikėti drastiškesnių pokyčių. Tai apima išjungimo išjungimą, kuris sulėtins kompiuterį. Dauguma žmonių nereikės to padaryti, tačiau „Windows Server“ administratoriai, dirbantys „Hyper-V“ „Intel“ procesoriuose, turės rimtai apsvarstyti galimybę išjungti „Hyper-threading“ sistemos BIOS sistemoje, kad jų virtualios mašinos būtų saugios.
Debesų paslaugų teikėjai, pvz., „Microsoft Azure“ ir „Amazon Web Services“, taip pat pataiso savo sistemas, kad apsaugotų virtualias mašinas bendrose sistemose nuo atakos.
Pleistrai gali būti reikalingi ir kitoms operacinėms sistemoms. Pavyzdžiui, „Ubuntu“ išleido „Linux“ branduolio atnaujinimus, kad apsaugotų nuo šių atakų. „Apple“ dar nepateikė pastabų dėl šio atakos.
Konkrečiai, CVE numeriai, identifikuojantys šiuos trūkumus, yra CVE-2018-3615 dėl atakos „Intel SGX“, „CVE-2018-3620“ už ataką operacinėje sistemoje ir „System Management Mode“, ir CVE-2018-3646 užpuolimui prieš virtualios mašinos valdytojas.
Dienoraštyje „Intel“ teigė, kad dirba su geresniais sprendimais, kad pagerintų našumą, blokuodamas „L1TF“ naudojamus išnaudojimus. Šis sprendimas taikys apsaugą tik tada, kai tai yra būtina, gerinant našumą. „Intel“ jau pateikia tam tikrą partnerį jau pateiktą CPU mikrokodą su šiuo funkcija ir vertina jį išleidžiant.
Galiausiai „Intel“ pažymi, kad „L1TF taip pat sprendžiami pakeitimai, kuriuos atliekame aparatūros lygiu“. Kitaip tariant, būsimi „Intel“ procesoriai turės techninės įrangos patobulinimus, kad būtų geriau apsaugoti nuo Specter, Meltdown, Foreshadow ir kitų spekuliacinių vykdymo atakų mažiau našumo nuostolių.
Vaizdo kreditas: Robson90 / Shutterstock.com, Foreshadow.
