Kuidas kaitsta arvutit Intel Foreshadow vigadest

Foreshadow, tuntud ka kui L1 Terminal Fault, on teine ​​probleem spekulatiivse teostamisega Inteli protsessorites. See võimaldab pahatahtliku tarkvara tungida turvalistesse aladesse, mida isegi Spectre'i ja Meltdowni puudused ei suutnud lõhkuda.

Mis on Foreshadow?

Täpsemalt ründab Foreshadow Intel tarkvaravõrgu laienduste (SGX) funktsiooni. See on ehitatud Inteli kiipidesse, et võimaldada programmidel luua turvalisi „enklaave”, mida ei saa kasutada isegi teiste arvuti programmide kaudu. Isegi kui pahavara oli arvutis, ei saanud see ligipääsu turvalisele enklaavile. Kui Spectre ja Meltdown teatati, leidsid turvateadlased, et SGX-kaitstud mälu oli enamasti immuunne Spectre'i ja Meltdowni rünnakute suhtes.

On ka kaks seotud rünnakut, mida julgeoleku-uurijad nimetavad "Foreshadow - Next Generation" või Foreshadow-NG. Need võimaldavad juurdepääsu teabele süsteemihalduse režiimis (SMM), operatsioonisüsteemi kernelis või virtuaalse masina hüperviisoris. Teoreetiliselt võiks süsteemi ühes virtuaalses masinas töötav kood lugeda süsteemi teises virtuaalmasinas talletatud teavet, kuigi need virtuaalsed masinad peaksid olema täielikult isoleeritud.

Foreshadow ja Foreshadow-NG, nagu Specter ja Meltdown, kasutavad spekulatiivses teostuses vigu. Kaasaegsed protsessorid arvavad koodi, mida nad arvavad, et nad võiksid järgmisena töötada, ja ennetavad seda aega, et säästa aega. Kui programm püüab koodi käivitada, on see juba tehtud ja protsessor teab tulemusi. Vastasel juhul võib protsessor tulemusi ära visata.

Kuid see spekulatiivne täitmine jätab mõned andmed maha. Näiteks, sõltuvalt sellest, kui kaua spekulatiivne teostusprotsess teatud tüüpi päringute tegemiseks võtab, võivad programmid järeldada, millised andmed on mälupiirkonnas, isegi kui nad ei pääse sellele mälupiirkonnale. Kuna pahatahtlikud programmid võivad neid meetodeid kasutada kaitstud mälu lugemiseks, võivad nad isegi pääseda L1 vahemällu salvestatud andmetele. See on CPU madala taseme mälu, kus on salvestatud turvalised krüptograafilised võtmed. Seetõttu on need rünnakud tuntud ka kui „L1 Terminal Fault” või L1TF.

Foreshadowi kasutamiseks peab ründaja lihtsalt suutma oma arvutis koodi käivitada. Kood ei vaja spetsiaalseid õigusi - see võib olla tavakasutajaprogramm, millel puudub madalatasandiline juurdepääs süsteemile või isegi virtuaalse masina sees töötav tarkvara.

Alates Spectri ja Meltdowni väljakuulutamisest oleme näinud pidevat rünnakute voogu, mis kuritarvitavad spekulatiivset täitmisfunktsiooni. Näiteks ründab spekulatiivse poe ümbersõidu (SSB) Intel ja AMD protsessoreid, samuti mõningaid ARM-i protsessoreid. See kuulutati välja 2018. aasta mais.

Kas metsloomades kasutatakse Foreshadow'i?

Turvateadlased avastasid Foreshadowi. Nendel teadlastel on mõiste-kontseptsioon ehk teisisõnu funktsionaalne rünnak, kuid nad ei vabasta seda praegu. See annab igaühele aega rünnakute eest kaitsmiseks plaastrite loomiseks, vabastamiseks ja rakendamiseks.

Kuidas arvutit kaitsta

Pange tähele, et Foreshadow'ile on kõigepealt haavatavad ainult Intel-kiipidega arvutid. AMD kiibid ei ole selle puuduse suhtes haavatavad.

Enamik Windowsi arvutitest vajab operatsioonisüsteemi värskendusi ainult selleks, et kaitsta ennast Foreshadowilt vastavalt Microsofti ametlikule turvanõuandele. Uuemate plaastrite installimiseks käivitage lihtsalt Windows Update. Microsoft ütleb, et ei ole täheldanud nende plaastrite installimisel mingit tulemuse kadu.

Mõned arvutid võivad vajada ka enda kaitsmiseks uut Intel mikrokoodi. Intel ütleb, et need on samad mikrokoodide uuendused, mis ilmusid sel aastal. Uue püsivara saate, kui see on teie arvutile saadaval, installides oma arvuti või emaplaadi tootja uusimad UEFI või BIOS-i värskendused. Samuti saate installida mikrokoodide värskendusi otse Microsoftilt.

Millised süsteemiadministraatorid peavad teadma

Arvutid, mis töötavad virtuaalsete masinate jaoks hüperviisori tarkvara (näiteks Hyper-V), vajavad ka selle hüperviisori tarkvara värskendusi. Näiteks Microsoft Hyper-V värskenduse kõrval on VMWare välja andnud oma virtuaalse masina tarkvara värskenduse.

Hyper-V või virtualiseerimispõhist turvalisust kasutavad süsteemid võivad vajada drastilisemaid muudatusi. See hõlmab hüper-keermestamise keelamist, mis aeglustab arvutit. Enamik inimesi ei pea seda tegema, kuid Windows Server'i administraatorid, kes töötavad Hyper-V-ga Inteli CPU-del, peavad tõsiselt kaaluma hüper-keermestamise keelamist süsteemi BIOSis, et hoida oma virtuaalmasinaid turvaliselt.

Pilvepakkujad, nagu Microsoft Azure ja Amazon Web Services, pakuvad ka oma süsteeme, et kaitsta virtuaalseadmeid ründamise eest jagatud süsteemides.

Muude operatsioonisüsteemide jaoks võivad olla vajalikud plaastrid. Näiteks on Ubuntu avaldanud Linuxi kerneli värskendused nende rünnakute eest kaitsmiseks. Apple ei ole selle rünnaku kohta veel kommenteerinud.

Täpsemalt, need vead tuvastavad CVE numbrid on CVE-2018-3615 Intel SGXi, CVE-2018-3620 rünnaku eest operatsioonisüsteemi ja süsteemi haldamise režiimi ründamiseks ning CVE-2018-3646 rünnaku vastu virtuaalse masina haldur.

Blogipostis ütles Intel, et töötab parematel lahendustel, et parandada jõudlust, blokeerides L1TF-i põhiseid ärakasutamisi. See lahendus rakendab kaitset ainult vajaduse korral, parandades jõudlust. Intel ütleb mõnele partnerile juba selle funktsiooniga juba ette nähtud CPU mikrokoodi juba ja annab hinnangu selle vabastamisele.

Lõpuks märgib Intel, et „L1TF-i käsitletakse ka riistvaratasandil tehtavate muudatustega.” Teisisõnu sisaldavad tulevased Intel CPU-d riistvara täiustusi, et paremini kaitsta Spectri, Meltdowni, Foreshadow'i ja muude spekulatiivsete teostuspõhiste rünnakute eest vähem tulemuslikkuse kadu.

Pildikrediit: Robson90 / Shutterstock.com, Foreshadow.