Mi a Foreshadow?
Pontosabban, az Foreshadow támadja az Intel Szoftver Guard Extensions (SGX) funkcióját. Ez az Intel chipekbe épül be, hogy a programok létrehozhassanak biztonságos "enklávékot", méghozzá még a számítógépen futó egyéb programokhoz sem. Még akkor is, ha rosszindulatú programot találtak a számítógépen, nem tudott hozzáférni a biztonságos enkláva-elmélethez. A Spectre and Meltdown bejelentésekor a biztonsági kutatók megállapították, hogy az SGX-vel védett memória többnyire immunis a Specter and Meltdown támadásokkal szemben.
Két kapcsolódó támadás is létezik, amelyeket a biztonsági kutatók "Foreshadow - Next Generation" -nek vagy Foreshadow-NG-nek hívnak. Ezek lehetővé teszik az információkhoz való hozzáférést a rendszerkezelési módban (SMM), az operációs rendszermagban vagy a virtuális gép hypervisorjában. Elméletileg egy rendszer egy virtuális gépen futó kód képes olvasni a rendszeren található másik virtuális gépen tárolt információkat, annak ellenére, hogy ezek a virtuális gépek teljesen elszigeteltek.
Foreshadow és Foreshadow-NG, mint a Spectre and Meltdown, használj hibás spekulatív végrehajtást. A modern processzorok kitalálják a kódot, amelyről úgy gondolják, hogy futhatnak, és előzetesen végrehajtják, hogy időt takarítsanak meg. Ha egy program megpróbálja futtatni a kódot, nagyszerű - ez már megtörtént, és a processzor tudja az eredményeket. Ha nem, a processzor el tudja dobni az eredményeket.
Ez a spekulatív végrehajtás azonban mögött hagy valamilyen információt. Például, ha a spekulatív végrehajtási folyamat mennyi időt vesz igénybe bizonyos típusú kérések végrehajtásához, a programok arra is következtetni tudnak, hogy az adatok mennyi memóriaterületen vannak, még akkor is, ha nem tudják elérni a memória területét. Mivel a rosszindulatú programok használhatják ezeket a technikákat a védett memória olvasásához, az L1 gyorsítótárban tárolt adatokat is elérhetik. Ez az alacsony szintű memória a CPU-n, ahol a biztonságos titkosítási kulcsokat tárolják. Éppen ezért ezeket a támadásokat "L1 Terminal Fault" vagy L1TF néven is ismerik.
A Foreshadow előnyeinek kihasználásához a támadónak csak kódot kell futtatnia a számítógépén. A kód nem igényel speciális engedélyeket - ez lehet egy szabványos felhasználói program, amely nem rendelkezik alacsony szintű rendszereléréssel vagy akár virtuális gépen futó szoftverekkel.
A Spectre és a Meltdown bejelentése óta olyan folyamatos támadásokkal találkozhatunk, amelyek visszaélnek a spekulatív végrehajtási funkciókkal. Például a Spekulatív Store Bypass (SSB) támadás érinti az Intel és az AMD processzorait, valamint néhány ARM processzort. 2018 májusában jelentették be.
A Foreshadow a vadon él?
A Foreshadow-ot a biztonsági kutatók fedezték fel. Ezeknek a kutatóknak van egy koncepciójuk - más szóval funkcionális támadás -, de jelenleg nem engedik el. Ez mindenkinek ad időt arra, hogy létrehozzon, felszabadítson és alkalmazzon patcheket a támadás ellen.
Hogyan védheti a számítógépet
A legtöbb Microsoft Windows operációs rendszernek csak a Microsoft hivatalos biztonsági tanácsadója szerint kell operációs rendszerfrissítéssel védenie magát a Foreshadow-tól. Csak futtassa a Windows Update alkalmazást a legújabb javítások telepítéséhez. A Microsoft azt állítja, hogy nem észlelt semmilyen teljesítményvesztést a javítás telepítéséről.
Néhány számítógépen szükség lehet új Intel mikrokódra is, hogy megvédjék magukat. Az Intel szerint ezek ugyanazok a mikrokód-frissítések, amelyeket az év elején adtak ki. Új firmware-t kaphat, ha rendelkezésre áll a számítógéphez, telepítve a legfrissebb UEFI vagy BIOS frissítéseket a számítógépről vagy az alaplap gyártójától. A mikrokód-frissítéseket is telepítheti közvetlenül a Microsoftból.
Milyen rendszergazdáknak kell tudniuk
A virtuális gépeken (például a Hyper-V-ben) futó hypervisor szoftvereket futtató számítógépek frissítéseket is igényelnek a hypervisor szoftver számára. Például a Hyper-V-re vonatkozó Microsoft frissítés mellett a VMWare kiadta a virtuális gép szoftverének frissítését.
A Hyper-V vagy a virtualizáció-alapú biztonságot igénylő rendszerek drasztikusabb változtatásokra szorulhatnak. Ez magában foglalja a hyper-threading letiltását, ami lassítja a számítógépet. A legtöbb embernek nem kell ezt megtennie, de a Hyper-V Intel processzorokat futtató Windows Server rendszergazdáknak komolyan fontolóra kell venniük a rendszer BIOS-n belüli hiper-szálasításának letiltását a virtuális gépek biztonságos megőrzése érdekében.
Az olyan Cloud szolgáltatók, mint a Microsoft Azure és az Amazon Web Services szintén feltörlik a rendszerüket, hogy megóvják a virtuális gépeket a megosztott rendszerektől a támadástól.
A más operációs rendszerekhez patch-okra is szükség lehet. Például az Ubuntu kiadta a Linux kernelfrissítéseit, hogy megvédje ezeket a támadásokat. Az Apple még nem kommentálta ezt a támadást.
A CVE-2018-3615 a CVE-2018-3615-et az Intel SGX, a CVE-2018-3620 támadása az operációs rendszerre és a rendszergazdálkodási módra, valamint a CVE-2018-3646 virtuális gépkezelő.
Egy blogbejegyzésben az Intel azt mondta, hogy jobb megoldásokat dolgoz ki a teljesítmény javítása érdekében, miközben megakadályozza az L1TF-alapú kizsákmányolást. Ez a megoldás csak akkor alkalmazza a védelmet, ha szükséges, javítva a teljesítményt.Az Intel azt mondta, hogy már rendelkezik előre kiadott CPU mikrokóddal ezzel a szolgáltatással néhány partner számára, és értékeli a kiadását.
Végül az Intel megjegyzi, hogy "az L1TF-et a hardveres szinten végrehajtott változtatások is megoldják." Más szavakkal, a jövőbeni Intel processzorok hardveres javításokat tartalmaznak, amelyek jobb védelmet nyújtanak a Specter, a Meltdown, a Foreshadow és más spekulatív végrehajtásalapú támadások ellen kevesebb teljesítményveszteség.
