Foreshadow là gì?
Cụ thể, Foreshadow tấn công tính năng Tiện ích bảo vệ phần mềm (SGX) của Intel. Điều này được tích hợp vào các chip Intel để cho phép các chương trình tạo "các vùng" an toàn mà không thể truy cập được, ngay cả bởi các chương trình khác trên máy tính. Ngay cả khi phần mềm độc hại trên máy tính, nó cũng không thể truy cập vào vùng an toàn - theo lý thuyết. Khi Spectre và Meltdown được công bố, các nhà nghiên cứu bảo mật phát hiện ra rằng bộ nhớ được bảo vệ bởi SGX hầu như không bị tấn công Spectre và Meltdown.
Ngoài ra còn có hai cuộc tấn công liên quan, mà các nhà nghiên cứu bảo mật đang gọi là "Foreshadow - Next Generation", hoặc Foreshadow-NG. Điều này cho phép truy cập thông tin trong Chế độ quản lý hệ thống (SMM), hạt nhân hệ điều hành hoặc máy ảo hóa máy ảo. Về lý thuyết, mã chạy trên một máy ảo trên một hệ thống có thể đọc thông tin được lưu trữ trong một máy ảo khác trên hệ thống, mặc dù các máy ảo đó được cho là hoàn toàn bị cô lập.
Foreshadow và Foreshadow-NG, như Spectre và Meltdown, sử dụng sai sót trong việc thực thi đầu cơ. Các bộ vi xử lý hiện đại đoán mã mà họ nghĩ có thể chạy tiếp theo và thực hiện trước nó để tiết kiệm thời gian. Nếu một chương trình cố gắng chạy mã, tuyệt vời - nó đã được thực hiện và bộ xử lý biết kết quả. Nếu không, bộ vi xử lý có thể ném kết quả đi.
Tuy nhiên, việc thực thi đầu cơ này lại để lại một số thông tin đằng sau. Ví dụ: dựa trên thời gian thực hiện quy trình thực thi đầu cơ để thực hiện một số loại yêu cầu nhất định, chương trình có thể phỏng đoán dữ liệu nào nằm trong vùng bộ nhớ - ngay cả khi chúng không thể truy cập khu vực bộ nhớ đó. Bởi vì các chương trình độc hại có thể sử dụng các kỹ thuật này để đọc bộ nhớ được bảo vệ, chúng thậm chí có thể truy cập dữ liệu được lưu trữ trong bộ đệm L1. Đây là bộ nhớ mức thấp trên CPU, nơi các khóa mật mã bảo mật được lưu trữ. Đó là lý do tại sao các cuộc tấn công này còn được gọi là "L1 Terminal Fault" hoặc L1TF.
Để tận dụng lợi thế của Foreshadow, kẻ tấn công chỉ cần có thể chạy mã trên máy tính của bạn. Mã không yêu cầu quyền đặc biệt - nó có thể là chương trình người dùng chuẩn không có quyền truy cập hệ thống cấp thấp hoặc thậm chí là phần mềm chạy bên trong máy ảo.
Kể từ khi thông báo về Spectre và Meltdown, chúng tôi đã thấy một loạt các cuộc tấn công liên tục lạm dụng chức năng thực thi đầu cơ. Ví dụ, tấn công Bypass Store Bypass (SSB) tấn công các bộ vi xử lý bị ảnh hưởng từ Intel và AMD, cũng như một số bộ vi xử lý ARM. Nó được công bố vào tháng 5 năm 2018.
Foreshadow được sử dụng trong tự nhiên?
Foreshadow được phát hiện bởi các nhà nghiên cứu bảo mật. Những nhà nghiên cứu này có một bằng chứng về khái niệm - nói cách khác, một cuộc tấn công chức năng - nhưng họ không phát hành nó vào lúc này. Điều này cho phép tất cả mọi người thời gian để tạo, phát hành và áp dụng các bản vá để bảo vệ chống lại cuộc tấn công.
Cách bạn có thể bảo vệ PC của mình
Hầu hết các PC Windows chỉ cần cập nhật hệ điều hành để tự bảo vệ mình khỏi Foreshadow, theo lời khuyên bảo mật chính thức của Microsoft. Chỉ cần chạy Windows Update để cài đặt các bản vá mới nhất. Microsoft cho biết họ đã không nhận thấy bất kỳ tổn thất hiệu suất nào từ việc cài đặt các bản vá này.
Một số PC cũng có thể cần vi mã Intel mới để tự bảo vệ mình. Intel cho biết đây là những cập nhật vi mã giống nhau đã được phát hành đầu năm nay. Bạn có thể tải chương trình cơ sở mới, nếu nó có sẵn cho PC của bạn, bằng cách cài đặt bản cập nhật UEFI hoặc BIOS mới nhất từ PC hoặc nhà sản xuất bo mạch chủ của bạn. Bạn cũng có thể cài đặt bản cập nhật microcode trực tiếp từ Microsoft.
Quản trị viên hệ thống cần biết điều gì
Các PC chạy phần mềm hypervisor cho các máy ảo (ví dụ, Hyper-V) cũng sẽ cần cập nhật cho phần mềm hypervisor đó. Ví dụ, ngoài bản cập nhật Microsoft cho Hyper-V, VMWare đã phát hành bản cập nhật cho phần mềm máy ảo của nó.
Các hệ thống sử dụng Hyper-V hoặc bảo mật dựa trên ảo hóa có thể cần những thay đổi mạnh mẽ hơn. Điều này bao gồm việc tắt siêu phân luồng, điều này sẽ làm chậm máy tính. Hầu hết mọi người sẽ không cần phải làm điều này, nhưng các quản trị viên Windows Server đang chạy Hyper-V trên CPU Intel sẽ cần cân nhắc nghiêm túc việc vô hiệu hóa siêu phân luồng trong BIOS của hệ thống để giữ cho máy ảo của họ an toàn.
Các nhà cung cấp đám mây như Microsoft Azure và Amazon Web Services cũng đang vá các hệ thống của họ để bảo vệ các máy ảo trên các hệ thống chia sẻ khỏi bị tấn công.
Các bản vá cũng có thể cần thiết cho các hệ điều hành khác. Ví dụ, Ubuntu đã phát hành bản cập nhật hạt nhân Linux để bảo vệ chống lại các cuộc tấn công này. Apple chưa nhận xét về cuộc tấn công này.
Cụ thể, các số CVE xác định các lỗ hổng này là CVE-2018-3615 để tấn công vào Intel SGX, CVE-2018-3620 để tấn công vào hệ điều hành và Chế độ quản lý hệ thống và CVE-2018-3646 để tấn công vào quản lý máy ảo.
Trong một bài đăng trên blog, Intel cho biết họ đang làm việc trên các giải pháp tốt hơn để cải thiện hiệu suất trong khi chặn các lần khai thác dựa trên L1TF. Giải pháp này sẽ chỉ áp dụng biện pháp bảo vệ khi cần thiết, cải thiện hiệu suất.Intel cho biết mã micro CPU được phát hành trước đó đã được cung cấp với tính năng này cho một số đối tác và đang đánh giá nó.
Cuối cùng, Intel lưu ý rằng “L1TF cũng được giải quyết bằng những thay đổi chúng tôi đang thực hiện ở cấp độ phần cứng.” Nói cách khác, các CPU Intel trong tương lai sẽ chứa các cải tiến phần cứng để bảo vệ tốt hơn chống lại Spectre, Meltdown, Foreshadow và các cuộc tấn công dựa trên thực thi khác mất hiệu suất ít hơn.
