Čo je Foreshadow?
Konkrétne, Foreshadow napadol funkciu Intel Guardian Extensions (SGX). To je zabudované do čipov Intel, ktoré umožňujú programom vytvárať bezpečné "enklávy", ku ktorým nemožno pristupovať ani v iných programoch v počítači. Dokonca aj v prípade, že malware bol v počítači, nemal prístup k bezpečnej enkláve-v teórii. Keď boli oznámené Spectre a Meltdown, výskumníci v oblasti bezpečnosti zistili, že SGX-chránená pamäť je väčšinou imunná voči útokom Spectre a Meltdown.
Existujú aj dva súvisiace útoky, ktoré výskumníci v oblasti bezpečnosti nazývajú "Foreshadow - ďalšia generácia" alebo Foreshadow-NG. Tieto umožňujú prístup k informáciám v režime správy systému (SMM), jadre operačného systému alebo hypervízor virtuálneho stroja. Teoreticky, kód spustený v jednom virtuálnom stroji v systéme by mohol čítať informácie uložené v inom virtuálnom stroji v systéme, hoci tieto virtuálne stroje majú byť úplne izolované.
Foreshadow a Foreshadow-NG, ako Specter and Meltdown, používajú nedostatky v špekulatívnej realizácii. Moderný procesor odhaduje kód, o ktorom si myslia, že by mohol bežať ďalej a predbežne ho vykonal, aby šetril čas. Ak sa program pokúsi spustiť kód, skvelé - to už bolo hotové a procesor pozná výsledky. Ak nie, môže procesor vyhodiť výsledky.
Táto špekulatívna exekúcia však ponecháva niektoré informácie za sebou. Napríklad, na základe toho, ako dlho prebieha špekulatívny proces vykonávania určitých typov požiadaviek, programy môžu vyvodiť, aké sú údaje v oblasti pamäte - aj keď nemôžu pristupovať k tejto oblasti pamäte. Pretože škodlivé programy môžu použiť tieto techniky na čítanie chránenej pamäte, môžu dokonca získať prístup k údajom uloženým v vyrovnávacej pamäti L1. Toto je pamäť s nízkou úrovňou na procesore, kde sú uložené bezpečné kryptografické kľúče. Preto sú tieto útoky známe aj ako "L1 Terminal Fault" alebo L1TF.
Ak chcete využiť Foreshadow, útočník potrebuje mať možnosť spustiť kód vo vašom počítači. Kód nevyžaduje špeciálne povolenia - môže to byť štandardný používateľský program bez prístupu na systém na nízkej úrovni alebo dokonca softvéru bežiaceho vo virtuálnom počítači.
Od vyhlásenia Spectra a Meltdown sme zaznamenali stály prúd útokov, ktoré zneužívajú spekulačné funkcie. Napríklad zásah Speculative Store Bypass (SSB) zaútočil na procesory od spoločnosti Intel a AMD, ako aj niektoré procesory ARM. Bolo oznámené v máji 2018.
Je Foreshadow používaný vo voľnej prírode?
Foreshadow objavili výskumní pracovníci v oblasti bezpečnosti. Títo vedci majú dôkaz o koncepcii - inými slovami, funkčný útok - ale v súčasnosti ho neuvoľňujú. To dáva všetkým čas na vytvorenie, uvoľnenie a použitie záplat, ktoré chránia pred útokom.
Ako môžete chrániť váš počítač
Väčšina počítačov so systémom Windows potrebuje iba aktualizácie operačného systému, aby sa chránili pred Foreshadowom, podľa oficiálneho poradenstva spoločnosti Microsoft. Ak chcete nainštalovať najnovšie opravy, spustite program Windows Update. Spoločnosť Microsoft tvrdí, že si nevšimla žiadnu stratu výkonu pri inštalácii týchto záplat.
Niektoré počítače môžu tiež potrebovať nový mikrokód Intel, aby sa ochránili. Intel tvrdí, že ide o tie isté aktualizácie mikrokódu, ktoré boli uverejnené začiatkom tohto roka. Môžete získať nový firmvér, ak je k dispozícii pre váš počítač, inštaláciou najnovších aktualizácií UEFI alebo BIOS od výrobcu počítača alebo základnej dosky. Môžete tiež nainštalovať aktualizácie mikrokódu priamo od spoločnosti Microsoft.
Čo správcovia systému potrebujú vedieť
Počítače, ktoré používajú hypervisorový softvér pre virtuálne počítače (napríklad Hyper-V), budú tiež potrebovať aktualizácie tohto hypervízového softvéru. Napríklad, okrem aktualizácie spoločnosti Microsoft pre spoločnosť Hyper-V, spoločnosť VMWare vydala aktualizáciu softvéru pre virtuálny počítač.
Systémy využívajúce technológiu Hyper-V alebo virtualizáciu môžu vyžadovať drastické zmeny. To zahŕňa zablokovanie hyper-závitov, čo spomalí počítač. Väčšina ľudí to nebude musieť urobiť, ale administrátori systému Windows Server s procesormi Intel Hyper-V budú musieť vážne zvážiť zablokovanie hyper-závitov v systéme BIOS, aby sa ich virtuálne počítače mohli bezpečne chrániť.
Poskytovatelia oblakov, ako sú Microsoft Azure a Amazon Web Services, tiež opravujú svoje systémy na ochranu virtuálnych strojov na zdieľaných systémoch pred útokmi.
Záplaty môžu byť potrebné aj pre iné operačné systémy. Napríklad Ubuntu vydala aktualizácie jadra Linuxu na ochranu proti týmto útokom. Apple zatiaľ nekomentoval tento útok.
Konkrétne, čísla CVE, ktoré identifikujú tieto chyby, sú CVE-2018-3615 pre útok na Intel SGX, CVE-2018-3620 pre útok na operačný systém a režim správy systému a CVE-2018-3646 pre útok na manažér virtuálnych strojov.
V príspevku na blogu Intel uviedla, že pracuje na lepších riešeniach na zlepšenie výkonu pri blokovaní využívania technológie L1TF. Toto riešenie bude uplatňovať ochranu iba v prípade potreby, čím sa zlepší výkon.Spoločnosť Intel tvrdí, že jej už poskytla mikrokódu procesora CPU s touto funkciou pre niektorých partnerov a hodnotí jej uvoľnenie.
Napokon spoločnosť Intel poznamenáva, že "L1TF sa tiež zaoberá zmenami, ktoré robime na hardvérovej úrovni." Inými slovami, budúce procesory Intel budú obsahovať hardvérové vylepšenia na lepšiu ochranu proti Spectre, Meltdown, Foreshadow a ďalším špekulatívnym útokom založeným na prevedení menšia strata výkonu.
