Како да заштитите свој рачунар од грешака у програму Интел Форесхадов

Форесхадов, такође познат као Л1 Терминал Фаулт, је још један проблем са спекулативним извршењем у Интеловим процесорима. Омогућава да се злонамерни софтвер пробије у сигурне области које чак ни Спецтре и Мелтдовн не могу да испуцају.

Шта је Форесхадов?

Конкретно, Форесхадов напада Интелов софтверски додатак за проширења (СГКС). Ово је уграђено у Интелове чипове да би омогућило програмима да створе сигурне “енклаве” којима се не може приступити, чак ни другим програмима на рачунару. Чак и да је злонамерни софтвер био на рачунару, у теорији није могао приступити сигурном енклаву. Када су објављени Спецтре и Мелтдовн, истраживачи сигурности су открили да је меморија заштићена СГКС-ом углавном имуна на Спецтре и Мелтдовн нападе..

Постоје и два повезана напада, које истраживачи безбедности називају "Форесхадов - Нект Генератион" или Форесхадов-НГ. Они омогућавају приступ информацијама у режиму управљања системом (СММ), кернелу оперативног система или хипервизору виртуелне машине. У теорији, код који ради у једној виртуелној машини у систему може да чита информације похрањене у другој виртуелној машини на систему, иако су те виртуалне машине требало да буду потпуно изоловане.

Форесхадов и Форесхадов-НГ, као Спецтре и Мелтдовн, користе недостатке у спекулативном извршењу. Модерни процесори погађају код за који мисле да би могли да следе и прецептивно га извршавају да би уштедели време. Ако програм покуша да покрене код, то је већ учињено, а процесор зна резултате. Ако не, процесор може да одбаци резултате.

Међутим, ово спекулативно извршење оставља неке информације иза себе. На пример, на основу времена потребног за процес спекулативног извршавања да би се извршили одређени типови захтева, програми могу закључити који су подаци у области меморије - чак и ако не могу да приступе тој области меморије. Пошто злонамерни програми могу да користе ове технике за читање заштићене меморије, могли би чак да приступе подацима који су похрањени у Л1 кешу. Ово је меморија ниског нивоа на ЦПУ-у где се чувају безбедни криптографски кључеви. Зато су ови напади познати и као "Л1 Терминал Фаулт" или Л1ТФ.

Да бисте искористили предност Форесхадов-а, нападач само треба да буде у стању да покрене код на вашем рачунару. Код не захтева специјалне дозволе - то може бити стандардни кориснички програм без приступа ниског нивоа система, или чак софтвер који се покреће унутар виртуелне машине.

Од објављивања Спецтре и Мелтдовн, видели смо сталан ток напада који злоупотребљавају функционалност спекулативног извршења. На пример, напад Спецулативе Сторе Бипасс (ССБ) утицао је на процесоре из Интел-а и АМД-а, као и на неке АРМ процесоре. Најављено је у мају 2018. године.

Да ли се Форесхадов користи у дивљини?

Форесхадов су открили истраживачи сигурности. Ови истраживачи имају доказ-оф-цонцепт - другим ријечима, функционални напад - али они то не ослобађају у овом тренутку. Ово даје свима времена да креирају, објављују и примењују закрпе како би се заштитили од напада.

Како можете заштитити свој ПЦ

Имајте на уму да су само рачунари са Интел чиповима рањиви на Форесхадов. АМД чипови нису рањиви на овај недостатак.

Већини Виндовс рачунара је потребно само ажурирање оперативног система да би се заштитили од Форесхадов-а, према званичном саветовању Мицрософта. Само покрените Виндовс Упдате да бисте инсталирали најновије закрпе. Мицрософт каже да није приметио губитак перформанси због инсталирања ових закрпа.

Неким рачунарима ће такође требати нови Интел микрокоде да би се заштитили. Интел каже да су то иста ажурирања за микрокоде која су објављена раније ове године. Можете добити нови фирмвер, ако је доступан за ваш рачунар, инсталирањем најновијих УЕФИ или БИОС ажурирања са рачунара или произвођача матичне плоче. Такође можете да инсталирате ажурирања за микрокоде директно од корпорације Мицрософт.

Шта системски администратори треба да знају

Рачунари који користе хипервизорски софтвер за виртуелне машине (на пример, Хипер-В) ће такође морати да ажурирају тај софтвер за хипервизоре. На пример, поред Мицрософт ажурирања за Хипер-В, ВМВаре је издао ажурирање за свој софтвер за виртуелне машине.

Системима који користе Хипер-В или безбедност засновану на виртуелизацији, можда ће бити потребне више драстичне промене. То укључује и онемогућавање хипер-навоја, што ће успорити рад рачунара. Већина људи то неће морати да уради, али ће Виндовс Сервер администратори који користе Хипер-В на Интеловим процесорима морати озбиљно размотрити онемогућавање хипер-навоја у БИОС-у система да би одржали безбедност својих виртуелних машина безбедним.

Пружатељи услуга у облаку као што су Мицрософт Азуре и Амазон Веб Сервицес такођер закрпе своје системе како би заштитили виртуалне стројеве на заједничким системима од напада.

Закрпе могу бити потребне и за друге оперативне системе. На пример, Убунту је издао ажурирања Линук кернела како би се заштитио од ових напада. Аппле још није коментарисао овај напад.

Конкретно, ЦВЕ бројеви који идентификују ове мане су ЦВЕ-2018-3615 за напад на Интел СГКС, ЦВЕ-2018-3620 за напад на оперативни систем и Систем Манагемент Моде, и ЦВЕ-2018-3646 за напад на управитељ виртуалних машина.

У посту на блогу, Интел је рекао да ради на бољим решењима за побољшање перформанси док блокира експлоатације засноване на Л1ТФ. Ово решење ће применити заштиту само када је то потребно, побољшавајући перформансе. Интел каже да је већ обезбедио микрокоде са ЦПУ-ом са пред-издањем са овом функцијом за неке партнере и процењује да ли је то објављено.

Коначно, Интел напомиње да се "Л1ТФ такође бави промјенама које радимо на хардверском нивоу." мање губитка перформанси.

Кредит за слике: Робсон90 / Схуттерстоцк.цом, Форесхадов.