Какво представлява Foreshadow?
По-конкретно, Foreshadow атакува функцията на Intel Guardian Extensions (SGX). Това е вградено в чиповете на Intel, за да позволи на програмите да създават сигурни "анклави", които не могат да бъдат достъпни дори и от други програми на компютъра. Дори ако имаше злонамерен софтуер на компютъра, нямаше достъп до теорията на защитения анклав. Когато Spectre and Meltdown бяха обявени, изследователите в областта на сигурността установиха, че защитената от SGX памет е предимно имунизирана срещу атаките на Spectre и Meltdown.
Съществуват и две свързани атаки, които изследователите по сигурността наричат "Foreshadow - следващото поколение" или Foreshadow-NG. Те позволяват достъп до информация в режим за управление на системата (SMM), ядрото на операционната система или hypervisor на виртуална машина. На теория кодът, който се изпълнява в една виртуална машина на дадена система, може да прочете информацията, съхранявана в друга виртуална машина на системата, въпреки че тези виртуални машини се предполага, че са напълно изолирани.
Фурешад и Форешадоуд-НГ, като Призракът и разтопяването, използват недостатъци в спекулативното изпълнение. Модерните процесори предполагат, че кодът, който смятат, че може да се изпълнява, ще бъде изпълнен, за да спести време. Ако дадена програма се опитва да изпълни кода, страхотно - това вече е направено и процесорът знае резултатите. Ако не, процесорът може да изхвърли резултатите.
Това спекулативно изпълнение обаче оставя известна информация зад гърба си. Например, въз основа на продължителността на спекулативния процес на изпълнение, за да се изпълнят определени видове заявки, програмите могат да извлекат какви данни се намират в областта на паметта, дори ако нямат достъп до тази област на паметта. Тъй като злонамерените програми могат да използват тези техники за четене на защитена памет, те дори могат да имат достъп до данни, съхранени в кеш L1. Това е ниската памет на процесора, където се съхраняват сигурни криптографски ключове. Ето защо тези атаки са известни като "L1 Terminal Fault" или L1TF.
За да се възползвате от Foreshadow, атакуващият просто трябва да може да стартира кода на вашия компютър. Кодът не изисква специални разрешения - може да е стандартна потребителска програма без ниско ниво на достъп до системата или дори софтуер, работещ във виртуална машина.
След обявяването на Spectre and Meltdown сме свидетели на постоянен поток от атаки, които злоупотребяват със спекулативна функционалност за изпълнение. Например, спекулативният байпас (SSB) атакува засегнати процесори от Intel и AMD, както и някои ARM процесори. Тя бе обявена през май 2018 г.
Is Foreshadow използван в дивата природа?
Foreshadow е открита от изследователите по сигурността. Тези изследователи имат доказателство за понятие - с други думи, функционална атака, но те не го освобождават по това време. Това дава на всички време за създаване, освобождаване и прилагане на лепенки за защита срещу атаката.
Как можете да защитите компютъра си
Повечето персонални компютри с Windows се нуждаят само от актуализации на операционната система, за да се предпазят от употребата на Foreshadow, според официалната консултация по сигурността на Microsoft. Просто стартирайте Windows Update, за да инсталирате най-новите кръпки. Microsoft казва, че не е забелязала загуба на производителност при инсталирането на тези кръпки.
Някои компютри също могат да се нуждаят от нов микрокод на Intel, за да се защитят. Intel казва, че това са същите актуализации на микрокод, които бяха пуснати по-рано тази година. Можете да получите нов фърмуер, ако е наличен за вашия компютър, като инсталирате последните актуализации на UEFI или BIOS от вашия производител на компютри или дънни платки. Можете също така да инсталирате актуализации за микрокод директно от Microsoft.
Какви системни администратори трябва да знаят
Персоналните компютри, които пускат хипервизорен софтуер за виртуални машини (например Hyper-V), също ще имат нужда от актуализации на този хипервизорен софтуер. Например, в допълнение към актуализацията на Microsoft за Hyper-V, VMWare пусна актуализация за своя софтуер за виртуални машини.
Системите, използващи Hyper-V или базирана на виртуализация сигурност, може да се нуждаят от по-драстични промени. Това включва деактивиране на хипервръзката, което ще забави компютъра. Повечето хора няма да имат нужда да правят това, но администраторите на Windows Server, които изпълняват Hyper-V на процесорите на Intel, ще трябва сериозно да пренебрегват хипер-визуализацията в BIOS на системата, за да запазят своите виртуални машини безопасни.
Доставчиците на облаци, като Microsoft Azure и Amazon Web Services, също се захващат със своите системи за защита на виртуални машини от споделени системи от атаки.
Пачове може да са необходими и за други операционни системи. Например, Ubuntu пусна актуализации на ядрото на Linux, за да се предпази от тези атаки. Apple все още не е коментирал тази атака.
По-конкретно, CVE номерата, които идентифицират тези недостатъци, са CVE-2018-3615 за атаката срещу Intel SGX, CVE-2018-3620 за атака на операционната система и режима за управление на системата и CVE-2018-3646 за атаката срещу мениджър на виртуални машини.
В публикация в блога Intel каза, че работи върху по-добри решения за подобряване на производителността, докато блокира експлойти, базирани на L1TF. Това решение ще приложи защитата само при необходимост, като подобри производителността.Intel твърди, че вече е предоставил микрокод на процесорния процес с тази функция на някои партньори и оценява освобождаването му.
И накрая, Intel отбелязва, че "L1TF се справя и с промените, които правим на хардуерно ниво." С други думи, бъдещите Intel процесори ще съдържат хардуерни подобрения, за да се предпазят по-добре от Spectre, Meltdown, Foreshadow и други спекулативни атаки, по-малко загуба на производителност.
