Mikä on Foreshadow?
Erityisesti Foreshadow hyökkää Intelin Software Guard Extensions (SGX) -ominaisuudella. Tämä on rakennettu Intelin siruihin, jotta ohjelmat voivat luoda turvallisia "salaisuuksia", joita ei voi käyttää, vaikka muut tietokoneen ohjelmat. Vaikka haittaohjelmat olisivatkin tietokoneessa, se ei voinut käyttää suojattua salauskenttäteoriaa. Kun Specter and Meltdown ilmoitettiin, turvallisuustutkijat havaitsivat, että SGX-suojattu muisti oli enimmäkseen immuuni Specter- ja Meltdown-hyökkäyksille.
On myös kaksi asiaan liittyvää hyökkäystä, joita turvallisuustutkijat kutsuvat "Foreshadow - Next Generation", tai Foreshadow-NG: lle. Nämä sallivat pääsyn tietoihin Järjestelmänhallintatilassa (SMM), käyttöjärjestelmän ytimestä tai virtuaalikoneen hypervisorista. Teoriassa järjestelmässä olevan virtuaalikoneen käynnissä oleva koodi voisi lukea järjestelmään tallennettua tietoa toiselle virtuaalikoneelle, vaikka nämä virtuaalikoneet olisivat täysin eristettyjä.
Foreshadow ja Foreshadow-NG, kuten Specter and Meltdown, käyttävät puutteita spekulatiivisessa suorituksessa. Nykyaikaiset prosessorit arvostavat koodia, jonka he ajattelevat saattavan käyttää seuraavaksi ja ennaltaehkäistäkseen sen säästääkseen aikaa. Jos ohjelma yrittää käyttää koodia, se on jo tehty, ja prosessori tietää tulokset. Jos ei, prosessori voi heittää tulokset pois.
Tämä spekulatiivinen toteutus jättää kuitenkin tietyt tiedot. Esimerkiksi, riippuen siitä, kuinka kauan spekulatiivisen suoritusprosessin suorittaminen tietyntyyppisten pyyntöjen suorittamiseen edellyttää, ohjelmat voivat päätellä, mitkä tiedot ovat muistin alueella, vaikka ne eivät pääse kyseiselle muistin alueelle. Koska haittaohjelmat voivat käyttää näitä tekniikoita lukemaan suojattua muistia, ne voivat jopa käyttää L1-välimuistissa tallennettuja tietoja. Tämä on CPU: n matalan tason muisti, jossa suojatut salausavaimet tallennetaan. Siksi nämä hyökkäykset tunnetaan myös nimellä "L1 Terminal Fault" tai L1TF.
Hyödyntääksesi Foreshadowia, hyökkääjä tarvitsee vain käyttää koodia tietokoneellasi. Koodi ei vaadi erityisiä käyttöoikeuksia - se voisi olla tavallinen käyttäjäohjelma, jolla ei ole alhaisen tason järjestelmäkäyttöä tai vaikka ohjelmisto, joka toimii virtuaalikoneen sisällä.
Specter ja Meltdownin ilmoituksen jälkeen olemme nähneet jatkuvan hyökkäysvirran, joka vääristää keinottelujen suoritustehokkuutta. Esimerkiksi Spekulatiivisen Store Bypass (SSB) -hyökkäyksen vaikutti Intelin ja AMD: n prosessoreihin sekä joitain ARM-prosessoreihin. Se ilmoitettiin toukokuussa 2018.
Onko ennakkotilaa käytetty villi?
Foreshaden löysivät turvallisuustieteilijät. Näillä tutkijoilla on todiste konseptista - toisin sanoen toimiva hyökkäys - mutta he eivät vapauta sitä tällä hetkellä. Tämä antaa kaikille aikaa luoda, vapauttaa ja soveltaa laastareita suojaamaan hyökkäyksiltä.
Miten voit suojata tietokoneesi?
Useimmat Windows-tietokoneet tarvitsevat vain käyttöjärjestelmän päivityksiä, jotka suojaavat itsensä Foreshadelta, Microsoftin virallisen tietoturvakonsultoinnin mukaan. Asenna uusimmat korjaustiedostot vain Windows Update -sivustolla. Microsoft sanoo, että se ei ole huomannut näiden korjaustietojen asennuksen menetystä.
Jotkin tietokoneet voivat tarvita myös uuden Intel-mikrokoodin suojaamaan itseään. Intel sanoo, että nämä ovat samat mikrokoodipäivitykset, jotka julkaistiin aiemmin tänä vuonna. Voit hankkia uuden laiteohjelmiston, jos se on käytettävissä tietokoneellesi, asentamalla uusimmat UEFI- tai BIOS-päivitykset tietokoneesta tai emolevyn valmistajasta. Voit myös asentaa microcode -päivityksiä suoraan Microsoftilta.
Järjestelmänvalvojat tarvitsevat tietää
Virtuaalisten koneiden (esimerkiksi Hyper-V: n) hypervisor-ohjelmistoa käyttävät tietokoneet tarvitsevat päivityksiä myös hypervisoriohjelmistoihin. Esimerkiksi Hyper-V: n Microsoft-päivityksen lisäksi VMWare on julkaissut virtuaalikoneohjelmiston päivityksen.
Hyper-V- tai virtualisointiin perustuvien järjestelmien järjestelmät saattavat tarvita jyrkempiä muutoksia. Tämä sisältää hyper-threading -toiminnon käytön, mikä hidastaa tietokonetta. Suurin osa ihmisistä ei tarvitse tehdä tätä, mutta Intel-suoritinten Hyper-V: n suorittamat Windows Server -järjestelmänvalvojat joutuvat harkitsemaan vakavasti hyper-threading -toimintojen poistamista järjestelmän BIOS-järjestelmästä pitääkseen virtuaaliset koneet turvallisina.
Cloud-palveluntarjoajat, kuten Microsoft Azure ja Amazon Web Services, myös korjaavat järjestelmäänsä suojaamaan virtuaalikoneita jaetuilta järjestelmiltä hyökkäyksiltä.
Merkit voivat olla tarpeen myös muille käyttöjärjestelmille. Esimerkiksi Ubuntu on julkaissut Linuxin ytimen päivitykset suojaamaan näitä hyökkäyksiä vastaan. Apple ei ole vielä kommentoinut tätä hyökkäystä.
Erityisesti nämä virheet tunnistavat CVE-numerot ovat CVE-2018-3615 hyökkäyksestä Intel SGX: lle, CVE-2018-3620: lle hyökkäyksestä käyttöjärjestelmään ja järjestelmänhallintatilaan sekä CVE-2018-3646: n virtuaalikoneenhallinta.
Blogikirjoituksessa Intel sanoi, että se pyrkii parempaan ratkaisuihin parantamaan suorituskykyä estäen samalla L1TF-pohjaisia hyö- tyjä. Tämä ratkaisu suojaa vain tarvittaessa, mikä parantaa suorituskykyä.Intel sanoo, että sillä on jo valmiiksi esitelty CPU-mikroskoodi, jolla on tämä ominaisuus joillekin kumppaneille, ja arvioi sen vapauttamista.
Lopuksi Intel toteaa, että "L1TF: tä käsitellään myös muutoksilla, joita teemme laitteistotasolla." Toisin sanoen tulevat Intel-prosessorit sisältävät laitteistoparannuksia, jotka suojaavat paremmin Specter-, Meltdown-, Foreshadow- ja muita spekulatiivisia suorituspohjaisia hyökkäyksiä vastaan vähemmän suorituskyvyn menetys.
