Slik beskytter du PCen fra Intel Foreshadow Flaws

Foreshadow, også kjent som L1 Terminal Fault, er et annet problem med spekulativ utførelse i Intels prosessorer. Det lar skadelig programvare bryte seg inn i sikre områder som til og med Specter og Meltdown-feilene ikke kunne sprekke.

Hva er Foreshadow?

Spesifikt angriper Foreshadow Intels Software Guard Extensions (SGX) -funksjon. Dette er innebygd i Intel-sjetonger for å la programmer skape sikre "enklaver" som ikke kan nås, selv ved andre programmer på datamaskinen. Selv om skadelig programvare var på datamaskinen, kunne den ikke få tilgang til sikker enclave-in-teorien. Når Specter og Meltdown ble annonsert, fant sikkerhetsforskere at SGX-beskyttet minne var for det meste immun mot Specter and Meltdown-angrep.

Det er også to relaterte angrep, som sikkerhetsforskerne ringer "Foreshadow - Next Generation" eller Foreshadow-NG. Disse tillater tilgang til informasjon i System Management Mode (SMM), operativsystemet kjernen eller en virtuell maskin hypervisor. I teorien kan kode som kjører i en virtuell maskin på et system lese informasjon som er lagret i en annen virtuell maskin på systemet, selv om de virtuelle maskinene skal være helt isolerte.

Foreshadow og Foreshadow-NG, som Specter og Meltdown, bruker feil i spekulativ utførelse. Moderne prosessorer gjetter koden de tror kan kjøre neste og preemptively utføre det for å spare tid. Hvis et program forsøker å kjøre koden, er det allerede gjort, og prosessoren vet resultatene. Hvis ikke, kan prosessoren kaste resultatene borte.

Imidlertid etterlater denne spekulative utførelsen litt informasjon bak. For eksempel, basert på hvor lenge en spekulativ utførelsesprosess tar for å utføre visse typer forespørsler, kan programmer avlede hvilke data som er i et område med minne, selv om de ikke har tilgang til dette minnesområdet. Fordi ondsinnede programmer kan bruke disse teknikkene til å lese beskyttet minne, kan de til og med få tilgang til data lagret i L1-cachen. Dette er lavnivåminnet på CPU-en, hvor sikre krypteringsnøkler lagres. Derfor er disse angrepene også kjent som "L1 Terminal Fault" eller L1TF.

For å utnytte Foreshadow må angriperen bare kunne kjøre kode på datamaskinen. Koden krever ikke spesielle tillatelser. Det kan være et standardbrukerprogram uten lavt systemtilgang, eller til og med programvare som kjører inne i en virtuell maskin.

Siden annonseringen av Specter og Meltdown, har vi sett en jevn strøm av angrep som misbruker spekulativ kjøringsfunksjonalitet. For eksempel angrep SSB-angrepet prosessorer fra Intel og AMD, samt noen ARM-prosessorer. Det ble kunngjort i mai 2018.

Er Foreshadow blir brukt i naturen?

Foreshadow ble oppdaget av sikkerhetsforskere. Disse forskerne har et proof of concept-med andre ord, et funksjonelt angrep, men de frigjør ikke det nå. Dette gir deg all tid til å lage, slippe ut og bruke patcher for å beskytte mot angrepet.

Hvordan du kan beskytte PCen din

Merk at bare PCer med Intel-sjetonger er sårbare for Foreshadow i utgangspunktet. AMD-sjetonger er ikke sårbare for denne feilen.

De fleste Windows-PCer trenger bare operativsystemoppdateringer for å beskytte seg mot Foreshadow, ifølge Microsofts offisielle sikkerhetsrådgivende. Kjør bare Windows Update for å installere de nyeste oppdateringene. Microsoft sier at det ikke har lagt merke til noe ytelsestap ved å installere disse oppdateringene.

Noen PCer kan også trenge ny Intel-mikrokode for å beskytte seg selv. Intel sier at disse er de samme mikrokod oppdateringene som ble utgitt tidligere i år. Du kan få ny firmware, hvis den er tilgjengelig for din PC, ved å installere de nyeste UEFI- eller BIOS-oppdateringene fra PC-en eller hovedkortprodusenten. Du kan også installere mikrokod oppdateringer direkte fra Microsoft.

Hvilke systemadministratorer trenger å vite

PCer som kjører hypervisor programvare for virtuelle maskiner (for eksempel Hyper-V) vil også trenge oppdateringer til den hypervisor programvare. For eksempel, i tillegg til en Microsoft-oppdatering for Hyper-V, har VMWare gitt ut en oppdatering for sin virtuelle maskinvare.

Systemer som bruker Hyper-V eller virtualiseringsbasert sikkerhet kan trenge mer drastiske endringer. Dette inkluderer å deaktivere hyper-threading, noe som vil bremse datamaskinen. De fleste trenger ikke dette, men Windows Server-administratorer som kjører Hyper-V på Intel-prosessorer, må seriøst vurdere å deaktivere hyper-threading i systemets BIOS for å holde sine virtuelle maskiner trygge.

Cloud-leverandører som Microsoft Azure og Amazon Web Services pakker også sine systemer for å beskytte virtuelle maskiner på delte systemer fra angrep.

Patcher kan også være nødvendige for andre operativsystemer. Ubuntu har for eksempel gitt ut Linux-kjerneoppdateringer for å beskytte mot disse angrepene. Apple har ennå ikke kommentert dette angrepet.

Spesifikt er CVE-tallene som identifiserer disse feilene CVE-2018-3615 for angrepet på Intel SGX, CVE-2018-3620 for angrepet på operativsystemet og System Management Mode, og CVE-2018-3646 for angrepet på virtuell maskinleder.

I et blogginnlegg sa Intel at det jobber med bedre løsninger for å forbedre ytelsen mens det blokkerer L1TF-baserte utnyttelser. Denne løsningen gjelder kun beskyttelsen når det er nødvendig, og forbedrer ytelsen. Intel sier at den allerede har forhåndsutgitt CPU-mikrokode med denne funksjonen til noen partnere, og evaluerer utgivelsen av den.

Til slutt forteller Intel at "L1TF også håndteres av endringer vi lager på maskinvarenivå." Med andre ord vil fremtidige Intel-CPUer inneholde maskinvareforbedringer for bedre å beskytte mot Specter, Meltdown, Foreshadow og andre spekulative utførelsesbaserte angrep med mindre ytelse tap.

Bilde Kreditt: Robson90 / Shutterstock.com, Foreshadow.