Ako chrániť počítač pred chybami programu Intel Foreshadow
Foreshadow, tiež známy ako L1 Terminal Fault, je ďalší problém so špekulatívnou realizáciou procesorov spoločnosti Intel. Umožňuje to, aby sa škodlivý softvér prenikol do bezpečných oblastí, ktoré nemohli prasknúť ani chyby Spectra a Meltdown.
Čo je Foreshadow?
Konkrétne Foreshadow napadol funkciu Intel Guardian Extensions (SGX). Je zabudovaný do čipov Intel, aby umožnil programom vytvárať bezpečné "enklávy", ku ktorým nemožno pristupovať ani v iných programoch v počítači. Dokonca aj v prípade, že malware bol v počítači, nemal prístup k bezpečnej enkláve-v teórii. Keď boli oznámené Spectre a Meltdown, výskumníci v oblasti bezpečnosti zistili, že SGX-chránená pamäť je väčšinou imunná voči útokom Spectre and Meltdown.
Existujú aj dva súvisiace útoky, ktoré výskumníci v oblasti bezpečnosti nazývajú "Foreshadow - ďalšia generácia" alebo Foreshadow-NG. Tieto umožňujú prístup k informáciám v režime správy systému (SMM), jadre operačného systému alebo hypervízor virtuálneho stroja. Teoreticky by kód spustený v jednom virtuálnom stroji v systéme mohol čítať informácie uložené v inom virtuálnom systéme v systéme, aj keď tieto virtuálne stroje majú byť úplne izolované.
Foreshadow a Foreshadow-NG, ako Spectre and Meltdown, používajú nedostatky v špekulatívnej realizácii. Moderný procesor odhaduje kód, o ktorom si myslia, že by mohol bežať ďalej a predbežne ho vykonať, aby šetril čas. Ak sa program pokúsi spustiť kód, skvelé - to už bolo hotové a procesor pozná výsledky. Ak tomu tak nie je, procesor môže vyhodiť výsledky.
Táto špekulatívna exekúcia však ponecháva niektoré informácie za sebou. Napríklad, na základe toho, ako dlho prebieha špekulatívny proces vykonávania určitých typov požiadaviek, programy môžu vyvodiť, aké údaje sa nachádzajú v oblasti pamäte - aj keď nemajú prístup k tejto oblasti pamäte. Pretože škodlivé programy môžu používať tieto techniky na čítanie chránenej pamäte, môžu dokonca získať prístup k údajom uloženým v vyrovnávacej pamäti L1. Toto je pamäť s nízkou úrovňou na CPU, kde sú uložené bezpečné kryptografické kľúče. Preto sú tieto útoky známe aj ako "L1 Terminal Fault" alebo L1TF.
Ak chcete využiť Foreshadow, útočník potrebuje mať možnosť spustiť kód vo vašom počítači. Kód nevyžaduje špeciálne povolenia - môže to byť štandardný používateľský program bez prístupu na systém na nízkej úrovni alebo dokonca softvéru bežiaceho vo virtuálnom stroji.
Od oznámenia spoločnosti Spectre and Meltdown sme zaznamenali stály prúd útokov, ktoré zneužívajú špekulatívnu výkonnosť. Napríklad útok bytu Speculative Store (SSB) napadol ovplyvnené procesory od spoločnosti Intel a AMD, ako aj niektoré procesory ARM. To bolo oznámené v máji 2018.
Je Foreshadow používaný v divočine?
Foreshadow objavili výskumní pracovníci v oblasti bezpečnosti. Títo vedci majú dôkaz o koncepcii - inými slovami, funkčný útok - ale v súčasnosti ho neuvoľňujú. To všetkým umožňuje všetkým vytvoriť, uvoľniť a aplikovať záplaty na ochranu pred útokom.
Ako môžete chrániť počítač
Všimnite si, že iba počítače s čipmi Intel sú na prvom mieste zraniteľné. Čipy AMD nie sú zraniteľné voči tejto chybe.
Väčšina počítačov so systémom Windows potrebuje iba aktualizácie operačného systému, aby sa chránili pred Foreshadowom, podľa oficiálneho poradenstva spoločnosti Microsoft. Ak chcete nainštalovať najnovšie opravy, spustite program Windows Update. Spoločnosť Microsoft tvrdí, že si nevšimla žiadnu stratu výkonu pri inštalácii týchto opráv.
Niektoré počítače môžu tiež potrebovať nový mikrokód Intel, aby sa mohli chrániť. Spoločnosť Intel tvrdí, že ide o tie isté mikrokódové aktualizácie, ktoré boli uverejnené začiatkom tohto roka. Môžete získať nový firmvér, ak je k dispozícii pre váš počítač, inštaláciou najnovších aktualizácií UEFI alebo BIOS od výrobcu počítača alebo základnej dosky. Môžete tiež nainštalovať aktualizácie mikrokódu priamo od spoločnosti Microsoft.
Čo správcovia systému potrebujú vedieť
Počítače, ktoré používajú hypervízorový softvér pre virtuálne počítače (napríklad Hyper-V), budú tiež potrebovať aktualizácie tohto hypervízového softvéru. Napríklad, okrem aktualizácie spoločnosti Microsoft pre systém Hyper-V, VMWare vydala aktualizáciu softvéru virtuálneho počítača.
Systémy používajúce technológiu Hyper-V alebo virtualizáciu môžu vyžadovať drastické zmeny. Zahŕňa to aj deaktiváciu hyper-závitovania, čo spomalí počítač. Väčšina ľudí to nebude musieť urobiť, ale správcovia systému Windows Server s procesormi Intel Hyper-V budú musieť vážne zvážiť zakázanie hypertextového zásahu v systéme BIOS, aby sa ich virtuálne počítače mohli bezpečne.
Poskytovatelia oblakov, ako sú Microsoft Azure a Amazon Web Services, tiež opravujú svoje systémy na ochranu virtuálnych strojov na zdieľaných systémoch pred útokmi.
Záplaty môžu byť potrebné aj pre iné operačné systémy. Napríklad Ubuntu vydala aktualizácie jadra Linuxu na ochranu proti týmto útokom. Apple zatiaľ nekomentoval tento útok.
Konkrétne, čísla CVE, ktoré identifikujú tieto chyby, sú CVE-2018-3615 pre útok na Intel SGX, CVE-2018-3620 pre útok na operačný systém a režim správy systému a CVE-2018-3646 pre útok na manažér virtuálnych strojov.
V blogovom príspevku spoločnosť Intel tvrdí, že pracuje na lepších riešeniach na zlepšenie výkonu pri blokovaní využívania technológie L1TF. Toto riešenie uplatní ochranu iba v prípade potreby, čím sa zlepší výkon. Spoločnosť Intel tvrdí, že jej už poskytla mikrokódu CPU pred uvedením do prevádzky s touto funkciou pre niektorých partnerov a vyhodnocuje jej uvoľnenie.
Napokon Intel poznamenáva, že "L1TF sa tiež zaoberá zmenami, ktoré robíme na hardvérovej úrovni." Inými slovami, budúce procesory Intel budú obsahovať hardvérové vylepšenia na lepšiu ochranu proti Spectre, Meltdown, Foreshadow a ďalším špekulatívnym útokom založeným na popravách menšia strata výkonu.
Obrazový kredit: Robson90 / Shutterstock.com, Foreshadow.
