Jak chránit počítač před chybami Intel Foreshadow
Foreshadow, také známý jako L1 Terminal Fault, je dalším problémem se spekulativní realizací procesorů Intel. Umožňuje vniknutí škodlivého softwaru do zabezpečených oblastí, které nemohly prasknout ani chyby Spectra a Meltdown.
Co je Foreshadow?
Konkrétně Foreshadow napadne funkci Software Guard Extensions (SGX) společnosti Intel. Je integrován do čipů Intel a umožňuje programům vytvářet bezpečné "enklávy", které nejsou přístupné ani jiným programům v počítači. Dokonce i v případě, že malware byl v počítači, neměl přístup k bezpečné enklávě-v teorii. Když byla oznámena zpráva Spectre and Meltdown, vědci v oblasti bezpečnosti zjistili, že SGX-chráněná paměť je většinou imunní vůči útokům Spectre and Meltdown.
Existují také dva související útoky, které výzkumníci v oblasti bezpečnosti nazývají "Foreshadow - příští generace" nebo Foreshadow-NG. Umožňují přístup k informacím v režimu správy systému (SMM), v jádře operačního systému nebo hypervisoru virtuálního stroje. Teoreticky kód spuštěný v jednom virtuálním stroji na systému může číst informace uložené v jiném virtuálním stroji v systému, přestože by tyto virtuální stroje měly být zcela izolované.
Foreshadow a Foreshadow-NG, jako Specter a Meltdown, používají v spekulativním provedení chyby. Moderní procesory hádají kód, o kterém se domnívají, že by mohly běžet dál a předběžně jej provést, aby šetřil čas. Pokud se program pokusí spustit kód, skvěle - to už bylo hotovo a procesor zná výsledky. Pokud tomu tak není, může procesor vyhodit výsledky.
Tato spekulativní exekuce však opouští některé informace. Například na základě toho, jak dlouho trvá spekulativní proces spouštění určitých typů požadavků, programy mohou vyvodit, jaké údaje se nacházejí v oblasti paměti - i když nemají přístup k této oblasti paměti. Protože škodlivé programy mohou používat tyto techniky ke čtení chráněné paměti, mohou dokonce přistupovat k datům uloženým v mezipaměti L1. Jedná se o paměť s nízkou úrovní na CPU, kde jsou uloženy bezpečné kryptografické klíče. Proto jsou tyto útoky známé také jako "L1 Terminal Fault" nebo L1TF.
Chcete-li využít možnosti Foreshadow, musí útočník na vašem počítači spustit kód. Kód nevyžaduje speciální oprávnění - může to být standardní uživatelský program bez přístupu k systémům na nižší úrovni nebo dokonce softwaru běžícího uvnitř virtuálního stroje.
Od oznámení Spectra a Meltdown jsme zaznamenali stálý proud útoků, které zneužívají spekulativní výkonnostní funkce. Zástupce Speculative Store Bypass (SSB) napadá například ovlivněné procesory od společností Intel a AMD, stejně jako některé procesory ARM. To bylo oznámeno v květnu 2018.
Je foreshadow používán v divočině?
Foreshadow objevili badatelé v oblasti bezpečnosti. Tito vědci mají doklad o koncepci - jinými slovy, funkční útok - ale v tuto chvíli ji neuvolňují. To dává všem čas, aby vytvořili, uvolnili a použili záplaty, které chrání před útokem.
Jak můžete chránit počítač
Všimněte si, že pouze počítače s čipy Intel jsou na první pohled zranitelné. AMD čipy nejsou vůči této chybě zranitelné.
Většina počítačů se systémem Windows potřebuje pouze aktualizaci operačního systému, aby se chránili před Foreshadowem, podle oficiálního poradenství společnosti Microsoft. Stačí nainstalovat Windows Update a nainstalovat nejnovější opravy. Microsoft říká, že si nevšimla žádné ztráty výkonu při instalaci těchto oprav.
Některé počítače mohou také potřebovat nový mikroprocesor Intel, aby se ochránili. Intel říká, že se jedná o stejné mikrokódové aktualizace, které byly zveřejněny v loňském roce. Můžete získat nový firmware, pokud je k dispozici pro vaše PC, instalací nejnovějších aktualizací UEFI nebo BIOS z počítače nebo výrobce desek. Aktualizace mikrokódu můžete také nainstalovat přímo od společnosti Microsoft.
Co správci systému potřebují vědět
Počítače, které používají hypervisorový software pro virtuální počítače (například Hyper-V), budou také potřebovat aktualizace tohoto hypervizorového softwaru. Například, kromě aktualizace společnosti Microsoft pro Hyper-V, VMWare vydala aktualizaci softwaru pro virtuální počítač.
Systémy využívající zabezpečení Hyper-V nebo virtualizace mohou vyžadovat drastické změny. To zahrnuje zakázání hyper-závitování, které zpomalí počítač. Většina lidí to nebude muset dělat, ale administrátoři systému Windows Server se systémem Hyper-V na procesorech Intel budou muset vážně zvážit vyřazení hypertextových závitů v systému BIOS, aby se jejich virtuální počítače bezpečně.
Poskytovatelé cloud, jako je Microsoft Azure a Amazon Web Services, také opravují své systémy, aby chránili virtuální počítače na sdílených systémech před útoky.
Záplaty mohou být nutné i pro jiné operační systémy. Například Ubuntu vydala aktualizaci jádra Linuxu, která chrání před těmito útoky. Apple zatím neoznačil tento útok.
Konkrétně jsou čísla CVE, která identifikují tyto chyby, CVE-2018-3615 pro útok na Intel SGX, CVE-2018-3620 pro útok na operační systém a režim správy systému a CVE-2018-3646 pro útok na správce virtuálních strojů.
V příspěvku na blogu Intel uvedla, že pracuje na lepších řešeních s cílem zlepšit výkon při blokování explozí založených na protokolu L1TF. Toto řešení použije ochranu pouze v případě potřeby, čímž se zlepší výkon. Intel říká, že již poskytl předprodejní mikroprocesor CPU s touto funkcí pro některé partnery a vyhodnocuje jeho uvolnění.
Konečně společnost Intel poznamenává, že "L1TF je také řešena změnami, které děláme na hardwarové úrovni." Jinými slovy budoucí procesory Intel budou obsahovat hardwarové vylepšení pro lepší ochranu proti Spectre, Meltdown, Foreshadow a dalším spekulativním útokům založeným na popravě méně ztráty výkonu.
Image Credit: Robson90 / Shutterstock.com, Foreshadow.
