כיצד להגן על המחשב מפני פגמים של אינטל
Foreshadow, הידוע גם בשם L1 Terminal Fault, הוא בעיה נוספת עם ביצוע ספקולטיבי במעבדים של אינטל. זה מאפשר תוכנה זדונית לשבור לאזורים מאובטחים כי אפילו Specter ו Meltdown פגמים לא יכול לפצח.
מה זה Foreshadow?
באופן ספציפי, Foreshadow התקפות של אינטל של תוכנה משמרות Extensions (SGX) תכונה. זה מובנה שבבים אינטל לתת תוכניות ליצור מאובטח "מובלעות" כי לא ניתן לגשת, גם על ידי תוכניות אחרות במחשב. גם אם תוכנות זדוניות היו במחשב, היא לא יכלה לגשת לתיאוריית מובלעת מובנית. כאשר Specter ו Meltdown הוכרזו, חוקרים בתחום האבטחה גילו ש- SGX מוגן בזיכרון היה בעיקר חסין מפני התקפות Specter ו- Meltdown.
יש גם שתי התקפות הקשורות, אשר חוקרי האבטחה מכנים "Foreshadow - הדור הבא", או Foreshadow-NG. אלה מאפשרים גישה למידע במצב ניהול מערכת (SMM), בקרנל של מערכת ההפעלה או ב- Hypervisor וירטואלי. בתיאוריה, קוד פועל במכונה וירטואלית אחת על מערכת יכול לקרוא מידע המאוחסן מכונה וירטואלית אחרת על המערכת, למרות אלה מכונות וירטואליות אמורים להיות מבודדים לחלוטין.
Foreshadow and Foreshadow-NG, כמו Specter ו- Meltdown, משתמשים בפגמים בביצוע ספקולטיבי. מעבדים מודרניים מנחשים את הקוד שהם חושבים שיפעלו לאחר מכן ויבצעו אותו מראש כדי לחסוך זמן. אם תוכנית מנסה להפעיל את הקוד, נהדר - זה כבר נעשה, ואת המעבד יודע את התוצאות. אם לא, המעבד יכול לזרוק את התוצאות משם.
עם זאת, ביצוע זה ספקולטיבי משאיר קצת מידע מאחור. לדוגמה, בהתבסס על משך הזמן של תהליך ביצוע ספקולטיבי לביצוע סוגים מסוימים של בקשות, תוכניות יכולות להסיק אילו נתונים נמצאים באזור זיכרון - גם אם הם אינם יכולים לגשת לאזור הזיכרון. בגלל תוכניות זדוניות יכול להשתמש בטכניקות אלה כדי לקרוא זיכרון מוגן, הם יכולים אפילו לגשת לנתונים המאוחסנים במטמון L1. זהו זיכרון ברמה נמוכה ב- CPU שבו מאוחסנים מפתחות הצפנה מאובטחים. לכן התקפות אלה ידועות גם בשם "L1 Terminal Fault" או L1TF.
כדי לנצל את היתרון של Foreshadow, התוקף רק צריך להיות מסוגל להפעיל את הקוד במחשב. הקוד אינו מחייב הרשאות מיוחדות - הוא יכול להיות תוכנית משתמש רגילה ללא גישה ברמת מערכת נמוכה, או אפילו תוכנה הפועלת בתוך מכונה וירטואלית.
מאז ההכרזה על ספקטר ומלדטאון, ראינו זרם קבוע של התקפות שמשתמשות בפונקציונליות ביצוע ספקולטיבית. לדוגמה, התקפת ה- Specive Store Bypass (SSB) השפיעה על מעבדי Intel ו- AMD, כמו גם על מעבדי ARM מסוימים. הוא הוכרז במאי 2018.
האם Foreshadow להיות בשימוש בטבע?
Foreshadow התגלה על ידי חוקרי אבטחה. החוקרים האלה יש הוכחה של מושג - במילים אחרות, התקפה פונקציונלית - אבל הם לא משחררים אותו בשלב זה. זה נותן לכולם זמן ליצור, לשחרר, ולהחיל תיקונים כדי להגן מפני ההתקפה.
איך אתה יכול להגן על המחשב האישי שלך?
שים לב שרק מחשבים אישיים עם שבבי Intel חשופים לפורשדו מלכתחילה. שבבי AMD אינם פגיעים לפגם זה.
רוב מחשבי Windows נדרשים רק עדכוני מערכת ההפעלה כדי להגן על עצמם מפני Foreshadow, על פי היידוע הביטחוני הרשמי של מיקרוסופט. פשוט הפעל את Windows Update כדי להתקין את התיקונים האחרונים. מיקרוסופט טוענת כי היא לא הבחינה באובדן ביצועים מהתקנת טלאים אלה.
מחשבים מסוימים עשויים גם צריכים מיקרוסקופ אינטל חדש כדי להגן על עצמם. אינטל אומרת כי מדובר באותם עדכוני מיקרו-קוד שפורסמו מוקדם יותר השנה. אתה יכול לקבל קושחה חדשה, אם זה זמין עבור המחשב האישי שלך, על ידי התקנת העדכונים האחרונים UEFI או BIOS מהמחשב או יצרן לוח האם. ניתן גם להתקין עדכוני Microsoft microsoft ישירות.
מה מנהלי מערכת צריכים לדעת
מחשבי PC המפעילים תוכנות Hypervisor למכונות וירטואליות (לדוגמה, Hyper-V) יצטרכו גם עדכונים לתוכנת Hypervisor זו. לדוגמה, בנוסף לעדכון של Microsoft עבור Hyper-V, פרסמה VMWare עדכון לתוכנת המחשב הווירטואלי שלה.
מערכות המבוססות על Hyper-V או וירטואליזציה מבוססי אבטחה עשויות להזדקק לשינויים דרסטיים יותר. זה כולל השבתת hyper-threading, אשר להאט את המחשב. רוב האנשים לא יצטרכו לעשות זאת, אבל מנהלי Windows Server הפועלים ב- Hyper-V במעבדים של Intel יצטרכו לשקול ברצינות השבתת היפר-השחלה ב- BIOS של המערכת כדי לשמור על בטיחות המכונות הווירטואליות שלהם.
ספקי ענן כמו Microsoft Azure ו- Amazon Web Services גם מתקנים את המערכות שלהם כדי להגן על מכונות וירטואליות במערכות משותפות מפני התקפה.
תיקונים עשויים להיות נחוצים גם עבור מערכות הפעלה אחרות. לדוגמה, אובונטו פרסמה עדכוני ליבה של לינוקס כדי להגן מפני התקפות אלה. אפל עדיין לא תגובות על התקפה זו.
באופן ספציפי, מספרי CVE המזהים את הפגמים הללו הם CVE-2018-3615 עבור ההתקפה על Intel SGX, CVE-2018-3620 עבור ההתקפה על מערכת ההפעלה ועל מצב ניהול המערכת ו- CVE-2018-3646 עבור ההתקפה על מנהל מכונה וירטואלית - -.
בהודעת בלוג, אמרה אינטל כי היא פועלת לפתרונות טובים יותר לשיפור הביצועים תוך חסימת ניצול לרעה המבוסס על L1TF. פתרון זה יחיל את ההגנה רק בעת הצורך, שיפור הביצועים. אינטל אומרת שכבר סיפקה מראש את מעבד המיקרו-קוד עם תכונה זו לחלק מהשותפים והיא מעריכה את השחרור.
לבסוף, אינטל מציינת כי "L1TF מטופל גם בשינויים שאנו מבצעים ברמת החומרה". במילים אחרות, מעבדי Intel עתידיים יכללו שיפורים בחומרה כדי להגן טוב יותר מפני Specter, Meltdown, Foreshadow והתקפות ספקולטיביות אחרות המבוססות על ביצוע. פחות הפסד ביצועים.
אשראי תמונה: Robson90 / Shutterstock.com, Foreshadow.