Annuncio del 20. agosto 2018

Foreshadow minaccia la sicurezza di dati sensibili negli ambienti cloud

Dopo Meltdown e Spectre, due team di ricercatori hanno scoperto nuove falle di sicurezza all’interno dei processori Intel. La vulnerabilità riguarda tutti gli attuali chipset Core IX, cosi come le CPU XEON.

Dopo la scoperta di Meltdown e Spectre, non è una sorpresa che anche l’hardware, così come i software, sia soggetto a bug. Due team di ricerca hanno sviluppato un nuovo attacco denominato “Foreshadow”, o L1TF (“Level 1 Terminal Fault”), che mira a colpire le componenti di sicurezza di una CPU, tra cui l’accesso alla page table e anche alle estensioni di monitoraggio del software (SGX  =Software Guard Extension) di Intel.

I ricercatori di differenti università si erano inizialmente focalizzati sulla tecnologia SGX di Intel e ne avevano riportato i risultati direttamente all’azienda. Il produttore di chip ha condotto ulteriori ricerche e scoperto che l’attacco segnalato aveva un impatto molto più vasto di quanto inizialmente paventato. Foreshadow è stato segnalato a Intel solo pochi giorni prima che i rapporti relativi a Meltdown e Spectre fossero rilasciati al pubblico.

Come funziona l’attacco

I dettagli sono molto complessi e hanno numerose similitudini con Meltdown e Spectre. Difatti anche Foreshadow assicura ad un utente non autorizzato l’accesso ad aree della memoria normalmente precluse. Cosa particolarmente problematica, specie in ambienti cloud, dove un potenziale hacker potrebbe procurarsi accesso ad aree della memoria assegnate a diverse macchine virtuali presenti sullo stesso server fisico.  

Sono ben tre le varianti di attacco ai danni dell’architettura di sicurezza. Per chi è interessato ad approfondire l’argomento G DATA raccomanda la lettura della ricerca “Foreshadow: Extracting the keys to the Intel SGX Kingdom with Transient Out-of-Order Execution“ (documento PDF). Il fulcro della questione è che Foreshadow non necessita di privilegi elevati per funzionare. A differenza di Meltdown/Spectre, che richiedono permessi di amministratore per poter sferrare l’attacco, per Foreshadow sono sufficienti normali permessi da utente.

Numerose le componenti attaccabili – in maniera molto molto simile a ciò che fanno Meltdown e Spectre, un hacker può far leva sull’esecuzione speculativa, un metodo impiegato per accelerare alcuni processi tramite il caricamento anticipato di specifiche istruzioni che non sono ancora state richieste.

I bersagli

Attualmente, i processori a rischio Foreshadow sono le CPU Intel Core i3, i5, e i7 e i corrispettivi XEON. Processori usati in milioni di computer e server su scala globale, rappresentano quindi una superficie d’attacco estremamente vasta. Non meraviglia quindi che ci si chieda chi deve preoccuparsi dell’impatto di Foreshadow. Gli autori della ricerca menzionano esplicitamente i servizi cloud (vedi p.3, cap. 2.2): “Il nostro attacco mostra essenzialmente che le attuali implementazioni SGX non siano in grado di proteggere nemmeno la Secure Enclave contro avversari privi di privilegi amministrativi, come ad esempio co-utenti di risorse cloud”

(cit. van Bulck, Minkin, Weisse et al).

Nessun pericolo a breve termine per gli utenti domestici

Gli attacchi descritti nel documento sono tecnicamente molto complessi e impressionanti. Tuttavia, gli utenti domestici non sono corrono pericoli nell’immediato. “Gli attacchi descritti nella ricerca coinvolgono un grande numero di sistemi in tutto il mondo. È quindi comprensibile che qualsiasi utente sia preoccupato. La buona notizia è che i produttori non sono del tutto impreparati. Qualche tempo fa sono già stati rilasciati aggiornamenti del microcodice che limitano il problema, non c’è quindi ragione di andare nel panico”, afferma Tim Berghoff, Security Evangelist di G DATA, che continua: “Intel ha anche affermato che queste misure preventive saranno integrate nei processi di produzione. Tuttavia, per quanto ne sappiamo, non c’è malware che si avvalga di quest’attacco altamente complesso. Si ricordi ad esempio che in molti avevano previsto che chiunque avrebbe potuto utilizzare Meltdown e Spectre per sferrare un attacco – ma non abbiamo nessuna prova che ciò stia accadendo realmente.”

Gli aggiornamenti del microcodice di Intel sono normalmente rilasciati dai produttori di schede madri o costruttori di sistemi. Nel caso non ci sia alcun supporto da questi, si possono sempre ottenere gli aggiornamenti dal catalogo di Microsoft. Nei sistemi Linux, il microcodice viene scaricato automaticamente nei registri delle CPU. In questo caso, non è richiesta nessun’interazione da parte dell’utente. Intel fornisce informazioni chiare su Foreshadow tramite “newsroom”. Secondo Intel, gli aggiornamenti del microcodice per mitigare gli attacchi Foreshadow non hanno nessun impatto sulla performance del CPU. Anche Microsoft ha fornito aggiornamenti.

SGX protegge le applicazioni critiche

La tecnologia SGX è parte integrante di tutti i processori Intel di nuova generazione ma è impiegata da una gamma ristretta di applicazioni. Una di queste è l’applicazione di avvio del ledger per le criptovalute, che si avvale della tecnologia SGX per proteggere transazioni blockchain come la compravendita di criptovalute quali Bitcoin o Moreno. Le transazioni possono essere effettuate all’interno di un contesto sicuro, inaccessibile ad ogni malware attualmente noto e potenzialmente presente nel sistema. Le funzioni corrispondenti sono implementate nella linea Core iX delle CPUs post generazione “Skylake”.

Inoltre, la tecnologia SGX è utilizzata negli ambienti cloud. Ad esempio, l’applicazione di messaggistica istantanea criptata Signal utilizza la funzione di sincronizzazione della rubrica caricata dall’utente per poter scoprire, senza reperirne i numeri di telefono, quali contatti utilizzano l’applicazione. Negli scorsi anni, sono stati effettuati numerosi attacchi dai ricercatori ai danni dei dati presenti nella “secured enclave”, che li hanno messi in condizione di impiegare con successo canali di attacco paralleli per ottenere chiavi RSA private.

Codici CVE associati:

Annuncio del 20. agosto 2018

Contact

G DATA Software Italia Srl
Via Persicetana Vecchia, 26
I-40132 Bologna

Telefono: 051 64 15 813
E-Mail: press@remove-this.gdata.it