Pagina principala » HOWTO » Cum să vă protejați PC-ul de defectele Intel Foreshadow

    Cum să vă protejați PC-ul de defectele Intel Foreshadow

    Foreshadow, cunoscută și sub numele de L1 Terminal Fault, este o altă problemă cu execuția speculativă în procesoarele Intel. Permite software-ului rău intenționat să pătrundă în zone securizate care chiar și defectele Spectrelor și Meltdown-ului nu au putut fi sparte.

    Ce este Foreshadow?

    În mod specific, Foreshadow atacă caracteristica Intel Guardian Extensions Guard (SGX). Acesta este integrat în chips-uri Intel pentru a permite programelor să creeze "enclave" sigure, care nu pot fi accesate, chiar și de alte programe de pe computer. Chiar dacă malware-ul era pe computer, nu putea accesa teoria enclavei în siguranță. Când Spectre și Meltdown au fost anunțate, cercetătorii din domeniul securității au descoperit că memoria protejată SGX a fost în mare parte imună la atacurile Spectrelor și Meltdown.

    Există, de asemenea, două atacuri conexe, pe care cercetătorii de securitate îl numesc "Foreshadow - Generația următoare" sau Foreshadow-NG. Acestea permit accesul la informații în modul Managementul Sistemului (SMM), kernelul sistemului de operare sau un hypervisor al mașinii virtuale. În mod teoretic, codul care rulează într-o singură mașină virtuală pe un sistem ar putea citi informații stocate într-o altă mașină virtuală pe sistem, chiar dacă aceste mașini virtuale ar trebui să fie complet izolate.

    Foreshadow și Foreshadow-NG, cum ar fi Spectre și Meltdown, folosesc defecte în execuția speculativă. Procesoarele moderne ghicesc codul pe care cred că îl pot executa în continuare și îl execută preemptiv pentru a economisi timp. Dacă un program încearcă să ruleze codul, minunat - deja s-a făcut, iar procesorul știe rezultatele. Dacă nu, procesorul poate arunca rezultatele.

    Cu toate acestea, această execuție speculativă lasă câteva informații în urmă. De exemplu, pe baza duratei procesului de execuție speculativă pentru a efectua anumite tipuri de cereri, programele pot deduce ce date se află într-o zonă de memorie - chiar dacă nu pot accesa acea zonă de memorie. Deoarece programele periculoase pot folosi aceste tehnici pentru a citi memoria protejată, pot accesa chiar și datele stocate în cache-ul L1. Aceasta este memoria de nivel scăzut de pe CPU unde sunt stocate chei criptografice sigure. De aceea, aceste atacuri sunt, de asemenea, cunoscute sub numele de "L1 Terminal Fault" sau L1TF.

    Pentru a profita de Foreshadow, atacatorul trebuie doar să poată rula codul pe computer. Codul nu necesită permisiuni speciale - ar putea fi un program de utilizator standard fără acces la un sistem de nivel scăzut sau chiar software care rulează într-o mașină virtuală.

    De la anunțarea lui Spectre și Meltdown, am văzut un flux constant de atacuri care abuzează de funcționalitatea speculativă de execuție. De exemplu, procesul de by-pass Speculative Store (SSB) atacă procesoare afectate de la Intel și AMD, precum și unele procesoare ARM. A fost anunțat în mai 2018.

    Este Foreshadow folosit în sălbăticie?

    Foreshadow a fost descoperit de cercetătorii din domeniul securității. Acești cercetători au o dovadă a conceptului - cu alte cuvinte, un atac funcțional - dar nu îl eliberează în acest moment. Acest lucru îi oferă tuturor timp să creeze, să elibereze și să aplice patch-uri pentru a proteja împotriva atacului.

    Cum vă puteți proteja calculatorul

    Rețineți că numai PC-urile cu jetoane Intel sunt vulnerabile la Foreshadow în primul rând. Cipurile AMD nu sunt vulnerabile la acest defect.

    Cele mai multe PC-uri Windows au nevoie doar de actualizări ale sistemului de operare pentru a se proteja de Foreshadow, potrivit consultanței oficiale de securitate a Microsoft. Doar rulați Windows Update pentru a instala cele mai recente patch-uri. Microsoft spune că nu a observat nicio pierdere de performanță din instalarea acestor patch-uri.

    Unele PC-uri ar putea avea nevoie, de asemenea, de un nou microcod Intel pentru a se proteja. Intel spune că acestea sunt aceleași actualizări de microcod care au fost lansate la începutul acestui an. Puteți obține firmware nou, dacă este disponibil pentru PC, instalând cele mai recente actualizări UEFI sau BIOS de la producătorul PC-ului sau al plăcii de bază. De asemenea, puteți instala actualizări de microcoduri direct de la Microsoft.

    Ce administratori de sistem trebuie să știe

    Computerele care rulează software-ul hypervisor pentru mașinile virtuale (de exemplu, Hyper-V) vor avea nevoie și de actualizări ale software-ului hypervisor. De exemplu, în plus față de o actualizare Microsoft pentru Hyper-V, VMWare a lansat o actualizare pentru software-ul mașinii virtuale.

    Sistemele care utilizează Hyper-V sau securitatea bazată pe virtualizare pot necesita schimbări mai drastice. Aceasta include dezactivarea hiper-filetare, care va încetini calculatorul. Majoritatea oamenilor nu vor trebui să facă acest lucru, dar administratorii Windows Server care rulează Hyper-V pe procesoarele Intel vor trebui să ia serios în considerare dezactivarea hiper-filetare în BIOS-ul sistemului pentru a-și păstra mașinile virtuale în siguranță.

    Furnizorii de servicii de tip cloud, precum Microsoft Azure și Amazon Web Services, își protejează sistemele pentru a proteja mașinile virtuale de sistemele partajate de atacuri.

    Patch-urile pot fi necesare și pentru alte sisteme de operare. De exemplu, Ubuntu a lansat actualizări de kernel Linux pentru a proteja împotriva acestor atacuri. Apple nu a comentat încă acest atac.

    Mai precis, numerele CVE care identifică aceste deficiențe sunt CVE-2018-3615 pentru atacul pe Intel SGX, CVE-2018-3620 pentru atacul asupra sistemului de operare și modul de gestionare a sistemului și CVE-2018-3646 pentru atacul asupra manager de mașină virtuală.

    Într-un post pe blog, Intel a declarat că lucrează la soluții mai bune pentru a îmbunătăți performanța în timp ce blochează exploatările bazate pe L1TF. Această soluție va aplica protecția numai atunci când este necesar, îmbunătățind performanța. Intel spune că a furnizat deja un microcod de CPU pre-lansare cu această caracteristică pentru unii parteneri și evaluează lansarea acestuia.

    În cele din urmă, Intel notează că "L1TF este abordat și prin schimbările pe care le facem la nivel hardware". Cu alte cuvinte, procesoarele Intel vor conține îmbunătățiri hardware pentru a proteja mai bine împotriva Spectrelor, Meltdown, Foreshadow și a altor atacuri speculative mai puțin pierdere de performanță.

    Credit de imagine: Robson90 / Shutterstock.com, Foreshadow.