Hva er Foreshadow?
Spesifikt angriper Foreshadow Intels programvaregardeutvidelser (SGX) -funksjon. Dette er innebygd i Intel-sjetonger for å la programmer skape sikre "enklaver" som ikke kan nås, selv ved andre programmer på datamaskinen. Selv om skadelig programvare var på datamaskinen, kunne den ikke få tilgang til sikker enclave-in-teorien. Når Specter og Meltdown ble annonsert, fant sikkerhetsforskere at SGX-beskyttet minne var for det meste immun mot Specter and Meltdown-angrep.
Det er også to relaterte angrep, som sikkerhetsforskerne ringer "Foreshadow - Next Generation" eller Foreshadow-NG. Disse tillater tilgang til informasjon i System Management Mode (SMM), operativsystemet kjernen eller en virtuell maskin hypervisor. I teorien kan kode som kjører i en virtuell maskin på et system lese informasjon som er lagret i en annen virtuell maskin på systemet, selv om de virtuelle maskinene skal være helt isolert.
Foreshadow og Foreshadow-NG, som Specter og Meltdown, bruker feil i spekulativ utførelse. Moderne prosessorer gjetter koden de tror kan kjøre neste og preemptively utføre det for å spare tid. Hvis et program forsøker å kjøre koden, er det allerede gjort, og prosessoren vet resultatene. Hvis ikke, kan prosessoren kaste resultatene borte.
Imidlertid etterlater denne spekulative utførelsen litt informasjon bak. For eksempel, basert på hvor lenge en spekulativ utførelsesprosess tar for å utføre visse typer forespørsler, kan programmer avlede hvilke data som er i et område med minne, selv om de ikke har tilgang til det aktuelle minnesområdet. Fordi ondsinnede programmer kan bruke disse teknikkene til å lese beskyttet minne, kan de til og med få tilgang til data lagret i L1-hurtigbufferen. Dette er lavnivåminnet på CPU-en, hvor sikre krypteringsnøkler lagres. Derfor er disse angrepene også kjent som "L1 Terminal Fault" eller L1TF.
For å utnytte Foreshadow må angriperen bare kunne kjøre kode på datamaskinen. Koden krever ikke spesielle tillatelser. Det kan være et standardbrukerprogram uten lavt systemtilgang, eller til og med programvare som kjører inne i en virtuell maskin.
Siden annonseringen av Specter og Meltdown, har vi sett en jevn strøm av angrep som misbruker spekulativ kjøringsfunksjonalitet. For eksempel angrep SSB-angrepet prosessorer fra Intel og AMD, samt noen ARM-prosessorer. Det ble kunngjort i mai 2018.
Er Foreshadow blir brukt i naturen?
Foreshadow ble oppdaget av sikkerhetsforskere. Disse forskerne har et proof of concept-med andre ord, et funksjonelt angrep, men de frigjør ikke det nå. Dette gir deg all tid til å lage, slippe ut og bruke patcher for å beskytte mot angrepet.
Slik kan du beskytte PCen
De fleste Windows-PCer trenger bare operativsystemoppdateringer for å beskytte seg mot Foreshadow, ifølge Microsofts offisielle sikkerhetsrådgivning. Kjør bare Windows Update for å installere de nyeste oppdateringene. Microsoft sier at det ikke har lagt merke til noe ytelsestap ved installering av disse oppdateringene.
Noen PCer kan også trenge ny Intel-mikrokode for å beskytte seg selv. Intel sier at disse er de samme mikrokod oppdateringene som ble utgitt tidligere i år. Du kan få ny firmware, hvis den er tilgjengelig for din PC, ved å installere de nyeste UEFI- eller BIOS-oppdateringene fra PC-en eller hovedkortprodusenten. Du kan også installere mikrokod oppdateringer direkte fra Microsoft.
Hvilke systemadministratorer trenger å vite
PCer som kjører hypervisor programvare for virtuelle maskiner (for eksempel Hyper-V) vil også trenge oppdateringer til den hypervisor programvare. For eksempel, i tillegg til en Microsoft-oppdatering for Hyper-V, har VMWare gitt ut en oppdatering for sin virtuelle maskinvare.
Systemer som bruker Hyper-V eller virtualiseringsbasert sikkerhet kan trenge mer drastiske endringer. Dette inkluderer inaktivering av hyper-tråder, noe som vil bremse datamaskinen. De fleste trenger ikke å gjøre dette, men Windows Server-administratorer som kjører Hyper-V på Intel-CPUer, må vurdere å deaktivere hyper-threading i systemets BIOS for å holde de virtuelle maskinene trygge.
Cloud-leverandører som Microsoft Azure og Amazon Web Services lakker også deres systemer for å beskytte virtuelle maskiner på delte systemer fra angrep.
Patcher kan også være nødvendige for andre operativsystemer. Ubuntu har for eksempel gitt ut Linux-kjerneoppdateringer for å beskytte mot disse angrepene. Apple har ennå ikke kommentert dette angrepet.
Spesifikt er CVE-tallene som identifiserer disse feilene CVE-2018-3615 for angrepet på Intel SGX, CVE-2018-3620 for angrepet på operativsystemet og System Management Mode, og CVE-2018-3646 for angrepet på virtuell maskinleder.
I et blogginnlegg, sa Intel at det jobber med bedre løsninger for å forbedre ytelsen mens det blokkerer L1TF-baserte utnyttelser. Denne løsningen gjelder kun beskyttelsen når det er nødvendig, og forbedrer ytelsen.Intel sier at den allerede har forhåndsutgitt CPU-mikrokode med denne funksjonen til noen partnere, og vurderer å frigjøre den.
Endelig merker Intel at "L1TF også håndteres av endringer vi lager på maskinvarenivå." Med andre ord vil fremtidige Intel-CPUer inneholde maskinvareforbedringer for bedre å beskytte mot Specter, Meltdown, Foreshadow og andre spekulative utførelsesbaserte angrep med mindre ytelse tap.
