Kas yra Foreshadow?
Tiksliau, "Foreshadow" išpuoliai yra "Intel" programinės įrangos apsaugos plėtiniai (SGX). Tai yra integruotas "Intel" lustai, leidžiančios programoms kurti saugius "anklavus", prie kurių negalima pasiekti netgi kitų programų kompiuteryje. Net jei kenkėjiška programa buvo kompiuteryje, ji negalėjo pasiekti saugios anklavų teorijos. Paskelbus "Spectre and Meltdown", saugumo tyrėjai nustatė, kad SGX apsaugota atmintis daugiausia buvo apsaugota nuo Spectre ir Meltdown išpuolių.
Taip pat yra du susiję išpuoliai, kuriuos saugumo tyrėjai vadina "Foreshadow - nauja karta" arba Foreshadow-NG. Tai suteikia prieigą prie informacijos sisteminės valdymo režime (SMM), operacinės sistemos branduolyje arba virtualios mašinos hypervisor. Teoriškai vienoje virtualioje sistemoje veikiantis kodas sistemoje gali skaityti kitoje virtualioje sistemoje saugomą informaciją, net jei šios virtualios mašinos turėtų būti visiškai atskirtos.
Foreshadow ir Foreshadow-NG, kaip Spectre and Meltdown, naudoja spekuliacinio vykdymo trūkumus. Šiuolaikiniai procesoriai sugeba sugalvoti kodą, kurį, jų nuomone, gali paleisti kitas, ir iš anksto jį vykdyti, taupydamas laiką. Jei programa bando paleisti kodą, gerai, tai jau buvo padaryta, o procesorius žino rezultatus. Jei ne, procesorius gali išmesti rezultatus.
Tačiau šis spekuliacinis vykdymas palieka tam tikrą informaciją. Pavyzdžiui, remiantis tuo, kiek laiko spekuliatyvus vykdymo procesas atlieka tam tikrų tipų užklausas, programos gali nustatyti, kokie duomenys yra atminties srityje, net jei jie negali pasiekti tos atminties vietos. Kadangi kenkėjiškos programos gali naudoti šias technologijas norėdami perskaityti saugomą atmintį, jos net galėtų pasiekti duomenis, saugomus L1 talpykloje. Tai CPU žemo lygio atmintis, kurioje saugomi saugomi kriptografiniai raktiniai žodžiai. Štai kodėl šie išpuoliai taip pat žinomi kaip "L1 Terminal Fault" arba L1TF.
Norėdami pasinaudoti "Foreshadow" pranašumais, užpuolikas turi turėti tik kodą savo kompiuteryje. Kodas nereikalauja specialių leidimų - tai gali būti standartinė vartotojo programa be žemo lygio sistemos prieigos ar net programinės įrangos, veikiančios virtualioje mašinoje.
Nuo "Spectre and Meltdown" paskelbimo matėme nuolatinį išpuolių srautą, kuriuo piktnaudžiaujama spekuliacine vykdymo funkcija. Pavyzdžiui, "Speculative Store Bypass" (SSB) išpuolių paveikė "Intel" ir "AMD" procesoriai, taip pat kai kurie ARM procesoriai. Tai buvo paskelbta 2018 m. Gegužės mėn.
Ar foreshadow laukia?
"Foreshadow" atrado saugumo tyrėjai. Šie tyrėjai turi koncepcijos įrodymą, kitaip tariant, funkcinį išpuolį, tačiau šiuo metu jie neatleidžia. Tai suteikia kiekvienam laiko kurti, išleisti ir taikyti pleistras, apsaugančius nuo atakos.
Kaip galite apsaugoti savo kompiuterį
Daugelis "Windows" kompiuterių reikalauja tik operacinės sistemos naujinių, kad apsaugotų save nuo "Foreshadow", atsižvelgiant į "Microsoft" oficialų saugumo patarimą. Tiesiog paleiskite "Windows" naujinimą, kad įdiegtumėte naujausius pataisymus. "Microsoft" teigia, kad įdiegus šiuos pataisymus nebuvo pastebėta jokio našumo nuostolių.
Kai kuriems kompiuteriams taip pat gali reikėti naujo "Intel" mikrokodo. "Intel" teigia, kad tai yra tie patys mikrokodų atnaujinimai, kurie buvo išleisti anksčiau šiais metais. Galite gauti naują programinę įrangą, jei ji yra jūsų kompiuteryje, įdiegdami naujausius UEFI arba BIOS naujinius iš savo kompiuterio ar plokštės gamintojo. Taip pat galite įdiegti "microcode" naujinius tiesiai iš "Microsoft".
Kokie sistemos administratoriai turi žinoti
Kompiuteriai, kuriuose veikia "hypervisor" programinė įranga virtualiosioms mašinoms (pvz., Hyper-V), taip pat turės atnaujinti šią "hypervisor" programinę įrangą. Pavyzdžiui, be "Microsoft" naujinio "Hyper-V", "VMWare" išleido atnaujintą virtualiosios kompiuterinės programinės įrangos versiją.
Sistemoms, kuriose naudojamas "Hyper-V" arba "virtualizavimas" pagrįstas saugumas, gali reikėti drastiškų pakeitimų. Tai apima išjungimą hiperįjuntimu, kuris sulėtins kompiuterį. Daugeliui žmonių tai nereikės, tačiau "Windows Server" administratoriams, naudojantiems "Hyper-V" "Intel" procesoriaus sistemose, turėsite rimtai apsvarstyti galimybę išjungti sistemos higieninius sriegius sistemos BIOS, kad jūsų virtualios mašinos būtų saugios.
Debesis teikėjai, pavyzdžiui, "Microsoft Azure" ir "Amazon" žiniatinklio paslaugos, taip pat pataiso savo sistemas, kad apsaugotų virtualios mašinos bendro naudojimo sistemose nuo atakos.
Pataisos gali būti reikalingos ir kitoms operacinėms sistemoms. Pavyzdžiui, "Ubuntu" išleido "Linux" branduolio naujinimus, apsaugančius nuo šių išpuolių. "Apple" dar nekomentavo šio atakos.
Konkrečiai, CVE numeriai, identifikuojantys šiuos trūkumus, yra CVE-2018-3615 už ataką "Intel SGX", CVE-2018-3620 atakoms dėl operacinės sistemos ir sistemos valdymo režimo ir CVE-2018-3646 už ataką virtualios mašinos vadybininkas.
Dienoraščio įraše "Intel" pranešė, kad rengia geresnius sprendimus, kaip pagerinti našumą blokuojant "L1TF" pagrįstus iššūkius. Šis sprendimas užtikrins apsaugą tik tada, kai tai būtina, pagerins veikimą."Intel" sako, kad kai kuriems partneriams jau yra pateiktas šios funkcijos išankstinio išleidimo procesoriaus mikrokodas, ir jį vertina išleidžiant.
Galiausiai "Intel" pažymi, kad "L1TF taip pat sprendžiami pakeitimai, kuriuos mes darome aparatūros lygmenyje". Kitaip tariant, ateityje "Intel" procesoriai turės aparatūros patobulinimų, kad geriau apsaugotų nuo Spectre, Meltdown, Foreshadow ir kitų spekuliatyvių įvykių atakų. mažiau veiklos nuostolių.
