Что такое Foreshadow?
В частности, Foreshadow атакует функции Intel Software Guard Extensions (SGX). Это встроено в чипы Intel, что позволяет программам создавать защищенные «анклавы», к которым невозможно получить доступ, даже другими программами на компьютере. Даже если вредоносное ПО было на компьютере, оно не могло получить доступ к защищенному анклаву в теории. Когда были объявлены Spectre и Meltdown, исследователи безопасности обнаружили, что защищенная от SGX память в основном невосприимчива к атакам Spectre и Meltdown.
Существуют также две связанные атаки, которые исследователи безопасности называют «Foreshadow - следующее поколение» или Foreshadow-NG. Они обеспечивают доступ к информации в режиме управления системой (SMM), ядре операционной системы или гипервизоре виртуальной машины. Теоретически, код, запущенный на одной виртуальной машине в системе, мог считывать информацию, хранящуюся на другой виртуальной машине в системе, хотя эти виртуальные машины должны быть полностью изолированы.
Foreshadow и Foreshadow-NG, такие как Spectre и Meltdown, используют ошибки в спекулятивном исполнении. Современные процессоры угадывают код, который, по их мнению, может запускать дальше, и превентивно выполнять его, чтобы сэкономить время. Если программа пытается запустить код, отлично, это уже сделано, и процессор знает результаты. Если нет, процессор может отбросить результаты.
Однако это спекулятивное исполнение оставляет некоторую информацию. Например, в зависимости от того, как долго выполняется спекулятивный процесс выполнения для выполнения определенных типов запросов, программы могут определять, какие данные находятся в области памяти, даже если они не могут получить доступ к этой области памяти. Поскольку вредоносные программы могут использовать эти методы для чтения защищенной памяти, они могут даже получить доступ к данным, хранящимся в кеше L1. Это низкоуровневая память на процессоре, где хранятся защищенные криптографические ключи. Вот почему эти атаки также известны как «L1 Terminal Fault» или L1TF.
Чтобы использовать Foreshadow, злоумышленник просто должен иметь возможность запускать код на вашем компьютере. Код не требует специальных разрешений - это может быть стандартная пользовательская программа без низкоуровневого доступа к системе или даже программного обеспечения, работающего внутри виртуальной машины.
С момента появления Spectre и Meltdown мы видели устойчивый поток атак, которые злоупотребляют функциональными возможностями спекулятивного исполнения. Например, атака Speculative Store Bypass (SSB) затронула процессоры Intel и AMD, а также некоторые процессоры ARM. Это было объявлено в мае 2018 года.
Используется ли Foreshadow в дикой природе?
Предвестники были обнаружены исследователями безопасности. У этих исследователей есть доказательство концепции, другими словами, функциональная атака, но они не выпускают ее в это время. Это дает каждому время для создания, выпуска и применения патчей для защиты от атаки.
Как защитить свой ПК
В соответствии с официальными рекомендациями Microsoft по обеспечению безопасности большинству ПК с ОС Windows требуются только обновления операционной системы, чтобы защитить себя от Foreshadow. Просто запустите Центр обновления Windows, чтобы установить последние исправления. Microsoft заявила, что не заметила каких-либо потерь в производительности от установки этих исправлений.
Некоторым ПК также может потребоваться новый микрокод Intel для защиты. Intel говорит, что это те же самые обновления микрокода, которые были выпущены в начале этого года. Вы можете получить новую прошивку, если она доступна для вашего ПК, путем установки последних обновлений UEFI или BIOS с вашего ПК или производителя материнской платы. Вы также можете установить обновления микрокода непосредственно из Microsoft.
Какие системные администраторы должны знать
ПК, на которых запущено программное обеспечение гипервизора для виртуальных машин (например, Hyper-V), также нуждаются в обновлениях этого программного обеспечения гипервизора. Например, в дополнение к обновлению Microsoft для Hyper-V, VMWare выпустила обновление для своего программного обеспечения для виртуальных машин.
Системы, использующие Hyper-V или безопасность на основе виртуализации, могут потребовать более радикальных изменений. Это включает отключение гиперпоточности, что замедлит работу компьютера. Большинству людей это не понадобится, но администраторы Windows Server, работающие с Hyper-V на процессорах Intel, должны серьезно подумать о том, чтобы отключить гиперпоточность в BIOS системы, чтобы сохранить их виртуальные машины в безопасности.
Облачные поставщики, такие как Microsoft Azure и Amazon Web Services, также исправляют свои системы для защиты виртуальных машин от общих систем от атак.
Патчи могут быть необходимы и для других операционных систем. Например, Ubuntu выпустила обновления ядра Linux для защиты от этих атак. Apple еще не прокомментировала эту атаку.
В частности, номера CVE, идентифицирующие эти недостатки, - это CVE-2018-3615 для атаки на Intel SGX, CVE-2018-3620 для атаки на операционную систему и режим управления системой и CVE-2018-3646 для атаки на менеджер виртуальной машины.
В сообщении в блоге Intel заявила, что работает над лучшими решениями для повышения производительности при блокировании эксплойтов на основе L1TF. Это решение будет применять защиту только в случае необходимости, повышая производительность.Intel заявляет, что уже предоставил предварительный выпуск микрокода с этой функцией некоторым партнерам и оценивает его выпуск.
Наконец, Intel отмечает, что «L1TF также устраняется изменениями, которые мы делаем на аппаратном уровне». Иными словами, будущие процессоры Intel будут содержать усовершенствования аппаратного обеспечения для лучшей защиты от Spectre, Meltdown, Foreshadow и других спекулятивных атак с использованием меньше потери производительности.
