Cos'è Foreshadow?
Nello specifico, Foreshadow attacca la funzionalità Intel SGS (Software Guard Extensions). Questo è integrato nei chip Intel per consentire ai programmi di creare "enclave" protette a cui non è possibile accedere, anche da altri programmi sul computer. Anche se il malware era sul computer, non poteva accedere alla teoria dell'enclave sicura. Quando furono annunciati Spectre e Meltdown, i ricercatori della sicurezza scoprirono che la memoria protetta da SGX era per lo più immune dagli attacchi Spectre e Meltdown.
Ci sono anche due attacchi correlati, che i ricercatori della sicurezza chiamano "Foreshadow - Next Generation" o Foreshadow-NG. Questi consentono l'accesso alle informazioni in SMM (System Management Mode), nel kernel del sistema operativo o in un hypervisor della macchina virtuale. In teoria, il codice in esecuzione in una macchina virtuale su un sistema potrebbe leggere le informazioni memorizzate in un'altra macchina virtuale sul sistema, anche se si suppone che queste macchine virtuali siano completamente isolate.
Foreshadow e Foreshadow-NG, come Spectre e Meltdown, usano difetti nell'esecuzione speculativa. I processori moderni indovinano il codice che pensano possano eseguire successivamente e lo eseguono preventivamente per risparmiare tempo. Se un programma tenta di eseguire il codice, ottimo, è già stato fatto e il processore conosce i risultati. In caso contrario, il processore può eliminare i risultati.
Tuttavia, questa esecuzione speculativa lascia dietro alcune informazioni. Ad esempio, in base alla durata del processo di esecuzione speculativa per eseguire determinati tipi di richieste, i programmi possono dedurre quali dati si trovano in un'area della memoria, anche se non possono accedere a quell'area di memoria. Poiché i programmi dannosi possono utilizzare queste tecniche per leggere la memoria protetta, potrebbero persino accedere ai dati memorizzati nella cache L1. Questa è la memoria di basso livello sulla CPU in cui sono memorizzate le chiavi di crittografia sicure. Ecco perché questi attacchi sono noti anche come "L1 Terminal Fault" o L1TF.
Per trarre vantaggio da Foreshadow, l'autore dell'attacco deve solo essere in grado di eseguire il codice sul tuo computer. Il codice non richiede autorizzazioni speciali: potrebbe essere un programma utente standard senza accesso al sistema di basso livello o software in esecuzione all'interno di una macchina virtuale.
Dall'annuncio di Spectre and Meltdown, abbiamo assistito a un flusso costante di attacchi che abusano della funzionalità di esecuzione speculativa. Ad esempio, l'attacco Speculative Store Bypass (SSB) ha interessato processori Intel e AMD, nonché alcuni processori ARM. È stato annunciato a maggio 2018.
Il prefigurato viene usato allo stato selvatico?
La prefazione è stata scoperta dai ricercatori di sicurezza. Questi ricercatori hanno un proof-of-concept - in altre parole, un attacco funzionale - ma non lo stanno rilasciando in questo momento. Questo dà a tutti il tempo di creare, rilasciare e applicare patch per proteggersi dall'attacco.
Come puoi proteggere il tuo PC
La maggior parte dei PC Windows ha bisogno solo degli aggiornamenti del sistema operativo per proteggersi da Foreshadow, secondo l'avviso di sicurezza ufficiale di Microsoft. Basta eseguire Windows Update per installare le ultime patch. Microsoft afferma di non aver notato alcuna perdita di prestazioni dall'installazione di queste patch.
Alcuni PC potrebbero anche necessitare di un nuovo microcodice Intel per proteggersi. Intel dice che si tratta degli stessi aggiornamenti di microcodice rilasciati all'inizio di quest'anno. È possibile ottenere un nuovo firmware, se disponibile per il PC, installando gli ultimi aggiornamenti UEFI o BIOS dal produttore del PC o della scheda madre. È anche possibile installare gli aggiornamenti dei microcodici direttamente da Microsoft.
Cosa devono sapere gli amministratori di sistema
Anche i PC che eseguono il software hypervisor per macchine virtuali (ad esempio Hyper-V) necessiteranno di aggiornamenti a tale software hypervisor. Ad esempio, oltre a un aggiornamento Microsoft per Hyper-V, VMware ha rilasciato un aggiornamento per il software della macchina virtuale.
I sistemi che utilizzano Hyper-V o la sicurezza basata sulla virtualizzazione potrebbero richiedere modifiche più drastiche. Ciò include la disattivazione dell'hyper-threading, che rallenta il computer. La maggior parte delle persone non avrà bisogno di farlo, ma gli amministratori di Windows Server che eseguono Hyper-V su CPU Intel dovranno prendere seriamente in considerazione la possibilità di disattivare l'hyper-threading nel BIOS del sistema per mantenere le proprie macchine virtuali al sicuro.
Anche fornitori di servizi cloud come Microsoft Azure e Amazon Web Services applicano i loro sistemi per proteggere le macchine virtuali dai sistemi condivisi dagli attacchi.
Le patch possono essere necessarie anche per altri sistemi operativi. Ad esempio, Ubuntu ha rilasciato aggiornamenti del kernel di Linux per proteggersi da questi attacchi. Apple non ha ancora commentato questo attacco.
Nello specifico, i numeri CVE che identificano questi difetti sono CVE-2018-3615 per l'attacco a Intel SGX, CVE-2018-3620 per l'attacco al sistema operativo e alla Modalità di gestione del sistema e CVE-2018-3646 per l'attacco al gestore di macchine virtuali.
In un post sul blog, Intel ha affermato che sta lavorando a soluzioni migliori per migliorare le prestazioni bloccando gli exploit basati su L1TF. Questa soluzione applicherà la protezione solo quando necessario, migliorando le prestazioni.Intel dice che il suo microcodice CPU pre-release è già fornito con questa funzione ad alcuni partner e sta valutando di rilasciarlo.
Infine, Intel nota che "L1TF è anche indirizzato dalle modifiche che stiamo apportando a livello hardware." In altre parole, le future CPU Intel conterranno miglioramenti hardware per una migliore protezione contro Spectre, Meltdown, Foreshadow e altri attacchi basati sull'esecuzione speculativa con meno perdite di prestazioni.
