Startpagina » hoe » Hoe u uw pc kunt beschermen tegen de Intel Foreshadow Flaws

    Hoe u uw pc kunt beschermen tegen de Intel Foreshadow Flaws

    Foreshadow, ook bekend als L1 Terminal Fault, is een ander probleem met speculatieve uitvoering in de processors van Intel. Het laat kwaadwillende software in beveiligde gebieden binnendringen, die zelfs de spelfouten Specter en Meltdown niet konden kraken.

    Wat is Foreshadow?

    Specifiek, Foreshadow valt Intel's Software Guard Extensions (SGX) -functie aan. Dit is ingebouwd in Intel-chips om programma's veilige "enclaves" te laten maken die niet toegankelijk zijn, zelfs niet door andere programma's op de computer. Zelfs als malware op de computer aanwezig was, had het geen toegang tot de veilige enclave-in-theorie. Toen Spectre en Meltdown werden aangekondigd, ontdekten beveiligingsonderzoekers dat SGX-beveiligd geheugen meestal immuun was voor Spectre- en Meltdown-aanvallen.

    Er zijn ook twee gerelateerde aanvallen, die de beveiligingsonderzoekers "Foreshadow - Next Generation" of Foreshadow-NG noemen. Deze bieden toegang tot informatie in de systeembeheermodus (SMM), de kernel van het besturingssysteem of een hypervisor van een virtuele machine. In theorie zou code die in één virtuele machine op een systeem wordt uitgevoerd, informatie kunnen lezen die is opgeslagen op een andere virtuele machine op het systeem, hoewel deze virtuele machines volledig moeten zijn geïsoleerd.

    Foreshadow en Foreshadow-NG gebruiken, zoals Spectre en Meltdown, gebreken in speculatieve uitvoering. Moderne processors raden de code aan waarvan zij denken dat deze daarna kan worden uitgevoerd en voeren deze preventief uit om tijd te besparen. Als een programma de code probeert uit te voeren, is great-it al gedaan en weet de processor de resultaten. Zo niet, dan kan de processor de resultaten weggooien.

    Deze speculatieve uitvoering laat echter wat informatie achter. Op basis van bijvoorbeeld hoe lang een speculatief uitvoeringproces duurt om bepaalde typen verzoeken uit te voeren, kunnen programma's uitzoeken welke gegevens zich in een geheugengebied bevinden, zelfs als ze geen toegang hebben tot dat geheugengebied. Omdat schadelijke programma's deze technieken kunnen gebruiken om beschermd geheugen te lezen, kunnen ze zelfs toegang krijgen tot gegevens die zijn opgeslagen in de L1-cache. Dit is het low-level geheugen op de CPU waar veilige cryptografische sleutels zijn opgeslagen. Dat is de reden waarom deze aanvallen ook bekend staan ​​als "L1 Terminal Fault" of L1TF.

    Om te profiteren van Foreshadow, moet de aanvaller code kunnen uitvoeren op uw computer. De code vereist geen speciale machtigingen - het kan een standaardgebruikersprogramma zijn zonder low-level systeemtoegang, of zelfs software die in een virtuele machine draait.

    Sinds de aankondiging van Spectre en Meltdown hebben we een gestage stroom van aanvallen gezien die misbruik maken van speculatieve uitvoeringsfunctionaliteit. Bijvoorbeeld, de Speculative Store Bypass (SSB) -aanval beïnvloedde processors van Intel en AMD, evenals sommige ARM-processors. Het werd aangekondigd in mei 2018.

    Wordt Foreshadow in het wild gebruikt?

    Foreshadow is ontdekt door beveiligingsonderzoekers. Deze onderzoekers hebben een proof-of-concept, met andere woorden, een functionele aanval, maar ze laten het op dit moment niet los. Dit geeft iedereen de tijd om patches te maken, vrij te geven en toe te passen om te beschermen tegen de aanval.

    Hoe u uw pc kunt beschermen

    Merk op dat alleen pc's met Intel-chips in de eerste plaats kwetsbaar zijn voor Foreshadow. AMD-chips zijn niet kwetsbaar voor deze fout.

    De meeste Windows-pc's hebben alleen updates van het besturingssysteem nodig om zichzelf tegen Foreshadow te beschermen, volgens het officiële beveiligingsadvies van Microsoft. Voer Windows Update uit om de nieuwste patches te installeren. Microsoft zegt geen prestatieverlies te hebben gemerkt bij het installeren van deze patches.

    Sommige pc's hebben mogelijk ook een nieuwe Intel-microcode nodig om zichzelf te beschermen. Intel zegt dat dit dezelfde microcode-updates zijn die eerder dit jaar werden uitgebracht. U kunt nieuwe firmware krijgen als deze beschikbaar is voor uw pc, door de nieuwste UEFI- of BIOS-updates van uw pc of moederbordfabrikant te installeren. U kunt microcode-updates ook rechtstreeks van Microsoft installeren.

    Wat systeembeheerders moeten weten

    Pc's met hypervisor-software voor virtuele machines (bijvoorbeeld Hyper-V) hebben ook updates van die hypervisor-software nodig. Naast een Microsoft-update voor Hyper-V heeft VMWare bijvoorbeeld een update uitgebracht voor de software voor virtuele machines.

    Systemen die gebruikmaken van Hyper-V of op virtualisatie gebaseerde beveiliging, kunnen mogelijk drastischer wijzigingen nodig hebben. Dit omvat het uitschakelen van hyperthreading, waardoor de computer trager wordt. De meeste mensen hoeven dit niet te doen, maar Windows Server-beheerders die Hyper-V gebruiken op Intel-CPU's zullen serieus moeten overwegen om hyperthreading in het BIOS van het systeem uit te schakelen om hun virtuele machines veilig te houden.

    Cloudproviders zoals Microsoft Azure en Amazon Web Services patchen hun systemen ook om virtuele machines op gedeelde systemen te beschermen tegen aanvallen.

    Patches kunnen ook nodig zijn voor andere besturingssystemen. Ubuntu heeft bijvoorbeeld Linux-kernelupdates uitgegeven om zich tegen deze aanvallen te beschermen. Apple heeft nog geen commentaar gegeven op deze aanval.

    Concreet zijn de CVE-nummers die deze tekortkomingen identificeren CVE-2018-3615 voor de aanval op Intel SGX, CVE-2018-3620 voor de aanval op het besturingssysteem en de systeembeheermodus en CVE-2018-3646 voor de aanval op de virtuele machinemanager.

    In een blogpost zei Intel dat het werkt aan betere oplossingen om de prestaties te verbeteren en L1TF-gebaseerde exploits te blokkeren. Deze oplossing past de bescherming alleen toe wanneer dat nodig is, waardoor de prestaties verbeteren. Intel zegt dat zijn reeds geleverde pre-release CPU-microcode met deze functie voor sommige partners en evalueert het vrijgeven ervan.

    Ten slotte merkt Intel op dat "L1TF ook wordt aangepakt door veranderingen die we op hardwareniveau aanbrengen." Met andere woorden, toekomstige Intel-CPU's zullen hardwarematige verbeteringen bevatten om beter te beschermen tegen Spectre, Meltdown, Foreshadow en andere speculatieve op uitvoering gebaseerde aanvallen met minder prestatieverlies.

    Afbeeldingscreditering: Robson90 / Shutterstock.com, voorafschaduwing.