Как защитить свой компьютер от недостатков Intel Foreshadow
Foreshadow, также известный как L1 Terminal Fault, является еще одной проблемой спекулятивного исполнения в процессорах Intel. Это позволяет вредоносному программному обеспечению проникать в безопасные области, которые не могут взломать даже недостатки Spectre и Meltdown..
Что такое Foreshadow?
В частности, Foreshadow атакует функцию Intel Guard Guard Extensions (SGX). Он встроен в чипы Intel, что позволяет программам создавать безопасные «анклавы», недоступные даже для других программ на компьютере. Даже если на компьютере было вредоносное ПО, оно не могло получить доступ к теории безопасного анклава. Когда были объявлены «Спектр» и «Расплавление», исследователи безопасности обнаружили, что память, защищенная SGX, была большей частью невосприимчива к атакам «Призрак и распад».
Есть также две связанные атаки, которые исследователи безопасности называют «Foreshadow - Next Generation» или Foreshadow-NG. Они предоставляют доступ к информации в режиме управления системой (SMM), ядре операционной системы или гипервизоре виртуальной машины. Теоретически код, выполняющийся на одной виртуальной машине в системе, может считывать информацию, хранящуюся на другой виртуальной машине в системе, даже если эти виртуальные машины должны быть полностью изолированы..
Foreshadow и Foreshadow-NG, как Spectre и Meltdown, используют недостатки в умозрительном исполнении. Современные процессоры предполагают, что код, который, по их мнению, может быть запущен следующим, превентивно выполняют его, чтобы сэкономить время. Если программа пытается запустить код, отлично - это уже сделано, и процессор знает результаты. Если нет, процессор может выбросить результаты.
Однако это умозрительное исполнение оставляет некоторую информацию позади. Например, основываясь на том, сколько времени спекулятивному процессу выполнения требуется для выполнения определенных типов запросов, программы могут определить, какие данные находятся в области памяти, даже если они не могут получить доступ к этой области памяти. Поскольку вредоносные программы могут использовать эти методы для чтения защищенной памяти, они могут даже получить доступ к данным, хранящимся в кэше L1. Это низкоуровневая память ЦП, в которой хранятся защищенные криптографические ключи. Вот почему эти атаки также известны как «L1 Terminal Fault» или L1TF.
Чтобы воспользоваться преимуществами Foreshadow, злоумышленнику просто нужно иметь возможность запускать код на вашем компьютере. Код не требует специальных разрешений - это может быть стандартная пользовательская программа без низкоуровневого доступа к системе или даже программное обеспечение, работающее внутри виртуальной машины..
Со времени анонса Spectre и Meltdown мы наблюдаем постоянный поток атак, которые злоупотребляют спекулятивным функционалом исполнения. Например, атака Speculartive Store Bypass (SSB) затронула процессоры Intel и AMD, а также некоторые процессоры ARM. Было объявлено в мае 2018 года.
Используется ли Foreshadow в дикой природе??
Foreshadow был обнаружен исследователями безопасности. У этих исследователей есть подтверждение концепции, другими словами, функциональная атака, но они не выпускают ее в настоящее время. Это дает каждому время для создания, выпуска и применения патчей для защиты от атаки..
Как вы можете защитить свой компьютер
Обратите внимание, что только ПК с чипами Intel уязвимы для Foreshadow. Чипы AMD не подвержены этому недостатку.
Согласно официальным рекомендациям Microsoft по безопасности, большинству ПК с Windows нужны только обновления операционной системы для защиты от Foreshadow. Просто запустите Центр обновления Windows, чтобы установить последние исправления. Microsoft говорит, что не заметила потери производительности при установке этих исправлений.
Некоторым компьютерам также может понадобиться новый микрокод Intel, чтобы защитить себя. Intel говорит, что это те же самые обновления микрокодов, которые были выпущены ранее в этом году. Вы можете получить новую прошивку, если она доступна для вашего ПК, установив последние обновления UEFI или BIOS от производителя вашего ПК или материнской платы. Вы также можете установить обновления микрокода непосредственно от Microsoft.
Что нужно знать системным администраторам
ПК, на которых установлено программное обеспечение гипервизора для виртуальных машин (например, Hyper-V), также потребуются обновления для этого программного обеспечения гипервизора. Например, в дополнение к обновлению Microsoft для Hyper-V компания VMWare выпустила обновление для программного обеспечения своей виртуальной машины..
Системы, использующие Hyper-V или безопасность на основе виртуализации, могут нуждаться в более радикальных изменениях. Это включает отключение гиперпоточности, которая замедляет работу компьютера. Большинству людей этого делать не нужно, но администраторам Windows Server, работающим с Hyper-V на процессорах Intel, необходимо серьезно рассмотреть возможность отключения гиперпоточности в BIOS системы, чтобы обеспечить безопасность своих виртуальных машин..
Облачные провайдеры, такие как Microsoft Azure и Amazon Web Services, также исправляют свои системы, чтобы защитить виртуальные машины в общих системах от атак..
Патчи могут быть необходимы и для других операционных систем. Например, Ubuntu выпустила обновления ядра Linux для защиты от этих атак. Apple пока не комментирует эту атаку.
В частности, номера CVE, которые идентифицируют эти недостатки, - это CVE-2018-3615 для атаки на Intel SGX, CVE-2018-3620 для атаки на операционную систему и режим управления системой и CVE-2018-3646 для атаки на менеджер виртуальных машин.
В своем блоге Intel сообщила, что работает над улучшением решений для повышения производительности, блокируя эксплойты на основе L1TF. Это решение будет применять защиту только при необходимости, улучшая производительность. Intel заявляет, что уже предоставила микрокод CPU до выпуска этой функции некоторым партнерам и планирует выпустить его.
Наконец, Intel отмечает, что «L1TF также учитывается изменениями, которые мы вносим на аппаратном уровне». Другими словами, будущие процессоры Intel будут содержать аппаратные улучшения для лучшей защиты от Spectre, Meltdown, Foreshadow и других спекулятивных атак на основе выполнения с меньше потери производительности.
Изображение предоставлено: Robson90 / Shutterstock.com, Foreshadow.