Як захистити ваш комп'ютер від недоліків Intel Foreshadow

Foreshadow, також відомий як L1 Terminal Fault, є ще однією проблемою з спекулятивним виконанням процесорів Intel. Це дозволяє зламати зловмисне програмне забезпечення в захищені зони, які навіть Spectre і Meltdown не могли зламати.

Що таке Foreshadow?

Зокрема, Foreshadow атакує функцію розширення програмного забезпечення Intel (Guard) Extensions (SGX). Це вбудовано в чіпи Intel, щоб дозволити програмам створювати безпечні “анклави”, до яких не можна звертатися, навіть іншими програмами на комп'ютері. Навіть якщо б на комп'ютері знаходилися шкідливі програми, він не міг отримати доступ до захищеного анклаву. Коли Spectre і Meltdown були оголошені, дослідники безпеки виявили, що пам'ять, захищена SGX, в основному захищена від атак Spectre і Meltdown..

Існують також два пов'язані атаки, які дослідники безпеки називають «Foreshadow - Next Generation» або Foreshadow-NG. Вони дозволяють отримати доступ до інформації в режимі керування системою (SMM), ядрі операційної системи або в гіпервізорі віртуальної машини. Теоретично, код, який виконується в одній віртуальній машині в системі, може читати інформацію, що зберігається в іншій віртуальній машині в системі, навіть якщо ці віртуальні машини повинні бути повністю ізольовані.

Foreshadow і Foreshadow-NG, як Spectre і Meltdown, використовують недоліки в спекулятивному виконанні. Сучасні процесори вгадують код, який, на їхню думку, може працювати далі, і попередньо його виконувати, щоб заощадити час. Якщо програма намагається запустити код, то це вже зроблено, і процесор знає результати. Якщо ні, процесор може відкинути результати.

Однак це спекулятивне виконання залишає за собою певну інформацію. Наприклад, на основі того, наскільки довго спекулятивним процесом виконання потрібно виконувати певні типи запитів, програми можуть зробити висновок, які дані знаходяться в області пам'яті, навіть якщо вони не можуть отримати доступ до цієї області пам'яті. Оскільки шкідливі програми можуть використовувати ці методи для читання захищеної пам'яті, вони можуть навіть отримати доступ до даних, що зберігаються в кеші L1. Це пам'ять низького рівня на процесорі, де зберігаються захищені криптографічні ключі. Ось чому ці атаки також відомі як "L1 Terminal Fault" або L1TF.

Щоб скористатися перевагами Foreshadow, зловмисник просто повинен мати можливість запускати код на вашому комп'ютері. Код не вимагає спеціальних дозволів - це може бути стандартна програма користувача без доступу до систем низького рівня або навіть програмне забезпечення, яке виконується всередині віртуальної машини.

З моменту оголошення Spectre і Meltdown ми бачили стійкий потік атак, які зловживають функціями спекулятивного виконання. Наприклад, атака Speculative Store Bypass (SSB) вплинула на процесори Intel і AMD, а також деякі процесори ARM. Про це було оголошено у травні 2018 року.

Є Foreshadow використовується в дикій природі?

Foreshadow був відкритий дослідниками безпеки. Ці дослідники мають доказову концепцію - іншими словами, функціональну атаку - але вони не відпускають її в цей час. Це дає кожному часу можливість створювати, випускати і застосовувати патчі для захисту від атаки.

Як можна захистити ваш комп'ютер

Зверніть увагу, що тільки персональні комп'ютери з чіпами Intel є вразливими до Foreshadow. Чіпи AMD не вразливі до цього недоліку.

Більшість комп'ютерів Windows потребують лише оновлень операційної системи, щоб захистити себе від Foreshadow. Просто запустіть Windows Update, щоб встановити останні оновлення. Корпорація Майкрософт каже, що не помітила втрати продуктивності від встановлення цих патчів.

Для захисту деяких комп'ютерів може знадобитися новий мікрокод Intel. Intel каже, що це ті самі оновлення мікрокоду, які були випущені на початку цього року. Ви можете отримати нову прошивку, якщо вона доступна для вашого комп'ютера, встановивши останні оновлення UEFI або BIOS від виробника ПК або материнської плати. Також можна інсталювати оновлення мікрокоду безпосередньо з Microsoft.

Що системні адміністратори повинні знати

Комп'ютери, на яких запущено програмне забезпечення гіпервізора для віртуальних машин (наприклад, Hyper-V), також потребуватимуть оновлень цього програмного забезпечення гіпервізора. Наприклад, на додаток до оновлення Microsoft для Hyper-V, VMWare випустила оновлення для свого програмного забезпечення віртуальних машин.

Системи, що використовують безпеку на основі Hyper-V або віртуалізації, можуть потребувати більш різких змін. Це включає відключення гіперпотоків, що уповільнить роботу комп'ютера. Більшості людей це не потрібно робити, але адміністратори Windows Server, на яких працюють процесори Hyper-V на процесорах Intel, повинні серйозно розглянути питання про вимикання гіперпотоків у BIOS системи, щоб зберегти їх віртуальні машини.

Провайдери хмари, такі як Microsoft Azure і веб-служби Amazon, також виправляють свої системи для захисту віртуальних машин від спільних систем від атак.

Для інших операційних систем також можуть знадобитися патчі. Наприклад, Ubuntu випустила оновлення ядра Linux для захисту від цих атак. Apple ще не прокоментувала цю атаку.

Зокрема, числа CVE, які ідентифікують ці недоліки, є CVE-2018-3615 для атаки на Intel SGX, CVE-2018-3620 для атаки на операційну систему і режим управління системою, а CVE-2018-3646 для атаки на менеджер віртуальних машин.

У своєму блозі Intel заявила, що працює над кращими рішеннями для підвищення продуктивності, блокуючи експлуатації на базі L1TF. Таке рішення застосовуватиме захист тільки в разі необхідності, підвищуючи продуктивність. Корпорація Intel повідомляє, що вже надана попередня реліз мікрокоду з процесором з цією функцією для деяких партнерів і оцінює її випуск.

Нарешті, корпорація Intel зазначає, що "L1TF також враховує зміни, які ми робимо на апаратному рівні". Іншими словами, майбутні процесори Intel будуть містити вдосконалення апаратних засобів для кращого захисту від Spectre, Meltdown, Foreshadow та інших спекулятивних атак з використанням менше втрати продуктивності.

Зображення: Robson90 / Shutterstock.com, Foreshadow.