Sådan beskytter du din pc mod Intel Foreshadow Flaws
Foreshadow, også kendt som L1 Terminal Fault, er et andet problem med spekulativ udførelse i Intels processorer. Det lader ondsindet software bryde ind i sikre områder, at selv Specter og Meltdown fejl ikke kunne knække.
Hvad er Foreshadow?
Specifikt angriber Foreshadow Intels Software Guard Extensions (SGX) -funktion. Dette er indbygget i Intel chips for at lade programmer skabe sikre "enklaver", der ikke kan nås, selv ved andre programmer på computeren. Selvom malware var på computeren, kunne den ikke få adgang til den sikre enclave-in-teori. Når Specter og Meltdown blev annonceret, fandt sikkerhedsforskere, at SGX-beskyttet hukommelse hovedsagelig var immun mod Specter and Meltdown-angreb.
Der er også to relaterede angreb, som sikkerhedsforskerne kalder "Foreshadow - Next Generation" eller Foreshadow-NG. Disse tillader adgang til oplysninger i System Management Mode (SMM), operativsystemkernen eller en virtuel maskinhypervisor. I teorien kan kode, der kører i en virtuel maskine på et system, læse oplysninger, der er gemt i en anden virtuel maskine på systemet, selv om disse virtuelle maskiner skal være fuldstændig isolerede.
Foreshadow og Foreshadow-NG, som Specter og Meltdown, bruger fejl i spekulativ udførelse. Moderne processorer gætter på den kode, de tror, kan køre næste og foregribende udfører det for at spare tid. Hvis et program forsøger at køre koden, er den allerede færdig, og processoren kender resultaterne. Hvis ikke, kan processoren kaste resultaterne væk.
Men denne spekulative udførelse efterlader nogle oplysninger bagved. For eksempel, baseret på hvor lang tid en spekulativ eksekveringsproces tager for at udføre visse typer anmodninger, kan programmer afgøre, hvilke data der er i et område af hukommelse - selvom de ikke har adgang til dette hukommelsesområde. Fordi ondsindede programmer kan bruge disse teknikker til at læse beskyttet hukommelse, kunne de endda få adgang til data, der er gemt i L1-cachen. Dette er lavniveauhukommelsen på CPU'en, hvor der er gemt sikre kryptografiske nøgler. Derfor er disse angreb også kendt som "L1 Terminal Fault" eller L1TF.
For at udnytte Foreshadow skal angriberen bare kunne køre kode på din computer. Koden kræver ikke særlige tilladelser. Det kunne være et standardbrugerprogram uden lavt systemadgang eller endda software, der kører inde i en virtuel maskine..
Siden meddelelsen om Specter og Meltdown har vi set en stabil strøm af angreb, der misbruger spekulativ eksekveringsfunktionalitet. Eksempelvis angreb den spekulative store bypass (SSB) angreb processorer fra Intel og AMD, samt nogle ARM processorer. Det blev annonceret i maj 2018.
Er Foreshadow bliver brugt i naturen?
Foreshadow blev opdaget af sikkerhedsforskere. Disse forskere har et proof of concept-med andre ord et funktionelt angreb, men de frigiver det ikke på nuværende tidspunkt. Dette giver alle tid til at oprette, frigive og anvende patches for at beskytte mod angrebet.
Sådan kan du beskytte din pc
Bemærk, at kun pc'er med Intel-chips er sårbare for Foreshadow i første omgang. AMD-chips er ikke sårbare over for denne fejl.
De fleste Windows-pc'er har kun brug for operativsystemopdateringer for at beskytte sig mod Foreshadow, ifølge Microsofts officielle sikkerhedsrådgivning. Bare kør Windows Update for at installere de nyeste patches. Microsoft siger, at det ikke har bemærket noget ydeevne tab ved at installere disse patches.
Nogle pc'er kan også have brug for en ny Intel-mikrokode til at beskytte sig selv. Intel siger, at disse er de samme mikrokode opdateringer, der blev udgivet tidligere i år. Du kan få ny firmware, hvis den er tilgængelig til din pc, ved at installere de nyeste UEFI- eller BIOS-opdateringer fra din pc eller bundkortproducent. Du kan også installere mikrokod opdateringer direkte fra Microsoft.
Hvilke systemadministratorer skal vide
PC'er, der kører hypervisor software til virtuelle maskiner (for eksempel Hyper-V) vil også have brug for opdateringer til den hypervisor software. For eksempel har VMWare udover en Microsoft-opdatering til Hyper-V udgivet en opdatering til sin virtuelle maskin-software.
Systemer, der bruger Hyper-V eller virtualiseringsbaseret sikkerhed, kan have brug for mere drastiske ændringer. Dette indebærer at deaktivere hyper-threading, hvilket vil sænke computeren. De fleste mennesker behøver ikke at gøre dette, men Windows Server-administratorer, der kører Hyper-V på Intel-CPU'er, skal alvorligt overveje at deaktivere hyper-threading i systemets BIOS for at holde deres virtuelle maskiner sikre.
Cloud-udbydere som Microsoft Azure og Amazon Web Services lapper også deres systemer til beskyttelse af virtuelle maskiner på delte systemer fra angreb.
Patches kan også være nødvendige for andre operativsystemer. For eksempel har Ubuntu udgivet Linux-kernel-opdateringer for at beskytte mod disse angreb. Apple har endnu ikke kommenteret dette angreb.
Specifikt er CVE-numrene, der identificerer disse fejl, CVE-2018-3615 for angrebet på Intel SGX, CVE-2018-3620 for angrebet på operativsystemet og System Management Mode og CVE-2018-3646 for angrebet på virtuel maskine manager.
I et blog-indlæg sagde Intel, at det arbejder på bedre løsninger til forbedring af ydeevnen og blokering af L1TF-baserede udnyttelser. Denne løsning vil kun anvende beskyttelsen, når det er nødvendigt, hvilket forbedrer ydeevnen. Intel siger, at den allerede leverede forudgående CPU-mikrokode med denne funktion til nogle partnere og evaluerer frigivelsen af den.
Endelig bemærker Intel, at "L1TF også behandles af ændringer, vi laver på hardwareniveau." Med andre ord vil fremtidige Intel-CPU'er indeholde hardwareforbedringer for bedre at beskytte mod Specter, Meltdown, Foreshadow og andre spekulative udførelsesbaserede angreb med mindre præstationstab.
Billedkredit: Robson90 / Shutterstock.com, Foreshadow.