Cách bảo vệ PC của bạn khỏi lỗ hổng báo trước của Intel

Báo trước, còn được gọi là L1 Terminal Fault, là một vấn đề khác với việc thực thi đầu cơ trong bộ xử lý của Intel. Nó cho phép phần mềm độc hại xâm nhập vào các khu vực an toàn mà ngay cả lỗ hổng Spectre và Meltdown cũng không thể bẻ khóa.

Báo trước là gì?

Cụ thể, Foreshadow tấn công tính năng Phần mềm bảo vệ phần mềm (SGX) của Intel. Điều này được tích hợp vào các chip Intel để cho phép các chương trình tạo ra các vỏ bảo mật, không thể truy cập được, thậm chí bởi các chương trình khác trên máy tính. Ngay cả khi phần mềm độc hại có trên máy tính, nó cũng không thể truy cập vào vùng kín an toàn - về lý thuyết. Khi Spectre và Meltdown được công bố, các nhà nghiên cứu bảo mật nhận thấy rằng bộ nhớ được bảo vệ SGX chủ yếu miễn nhiễm với các cuộc tấn công của Spectre và Meltdown.

Ngoài ra còn có hai cuộc tấn công liên quan, mà các nhà nghiên cứu bảo mật đang gọi là Foreshadow - Next Generation, Next hoặc Foreshadow-NG. Những thứ này cho phép truy cập thông tin trong Chế độ quản lý hệ thống (SMM), nhân hệ điều hành hoặc bộ ảo hóa máy ảo. Về lý thuyết, mã chạy trong một máy ảo trên một hệ thống có thể đọc thông tin được lưu trữ trong một máy ảo khác trên hệ thống, mặc dù các máy ảo đó được cho là bị cô lập hoàn toàn.

Báo trước và báo trước-NG, như Spectre và Meltdown, sử dụng sai sót trong thực thi đầu cơ. Các bộ xử lý hiện đại đoán mã mà họ nghĩ có thể chạy tiếp theo và thực thi mã đó để tiết kiệm thời gian. Nếu một chương trình cố chạy mã, thật tuyệt - nó đã được thực hiện và bộ xử lý biết kết quả. Nếu không, bộ xử lý có thể ném kết quả đi.

Tuy nhiên, việc thực hiện đầu cơ này để lại một số thông tin phía sau. Ví dụ, dựa trên thời gian quy trình thực hiện đầu cơ mất bao lâu để thực hiện một số loại yêu cầu nhất định, các chương trình có thể suy ra dữ liệu nào nằm trong vùng nhớ - ngay cả khi chúng không thể truy cập vào vùng nhớ đó. Vì các chương trình độc hại có thể sử dụng các kỹ thuật này để đọc bộ nhớ được bảo vệ, chúng thậm chí có thể truy cập dữ liệu được lưu trữ trong bộ đệm L1. Đây là bộ nhớ cấp thấp trên CPU nơi lưu trữ khóa mật mã an toàn. Đó là lý do tại sao các cuộc tấn công này còn được gọi là Fault L1 Terminal hoặc L1TF.

Để tận dụng lợi thế của Foreshadow, kẻ tấn công chỉ cần có thể chạy mã trên máy tính của bạn. Mã không yêu cầu quyền đặc biệt - nó có thể là chương trình người dùng chuẩn không có quyền truy cập hệ thống cấp thấp hoặc thậm chí phần mềm chạy bên trong máy ảo.

Kể từ khi công bố Spectre và Meltdown, chúng tôi đã thấy một loạt các cuộc tấn công ổn định lạm dụng chức năng thực thi đầu cơ. Ví dụ: Tấn công Cửa hàng Đầu cơ (SSB) tấn công các bộ xử lý bị ảnh hưởng từ Intel và AMD, cũng như một số bộ xử lý ARM. Nó đã được công bố vào tháng 5 năm 2018.

Là điềm báo đang được sử dụng trong tự nhiên?

Báo trước được phát hiện bởi các nhà nghiên cứu bảo mật. Các nhà nghiên cứu này có một bằng chứng về khái niệm - nói cách khác, một cuộc tấn công chức năng - nhưng họ không phát hành nó vào lúc này. Điều này cho mọi người thời gian để tạo, phát hành và áp dụng các bản vá để bảo vệ chống lại cuộc tấn công.

Làm thế nào bạn có thể bảo vệ PC của bạn

Lưu ý rằng chỉ những PC có chip Intel mới dễ bị Foreshadow ở vị trí đầu tiên. Chip AMD không dễ bị lỗ hổng này.

Hầu hết các PC Windows chỉ cần cập nhật hệ điều hành để bảo vệ bản thân khỏi Foreshadow, theo lời khuyên bảo mật chính thức của Microsoft. Chỉ cần chạy Windows Update để cài đặt các bản vá mới nhất. Microsoft cho biết họ đã không nhận thấy bất kỳ mất hiệu suất nào từ việc cài đặt các bản vá này.

Một số PC cũng có thể cần vi mã Intel mới để tự bảo vệ mình. Intel cho biết đây là những bản cập nhật vi mã tương tự đã được phát hành đầu năm nay. Bạn có thể nhận phần sụn mới, nếu nó có sẵn cho PC của bạn, bằng cách cài đặt các bản cập nhật UEFI hoặc BIOS mới nhất từ ​​nhà sản xuất PC hoặc bo mạch chủ của bạn. Bạn cũng có thể cài đặt các bản cập nhật vi mã trực tiếp từ Microsoft.

Quản trị viên hệ thống cần biết gì

Các PC chạy phần mềm hypanneror cho các máy ảo (ví dụ: Hyper-V) cũng sẽ cần các bản cập nhật cho phần mềm hypanneror đó. Ví dụ, ngoài bản cập nhật của Microsoft cho Hyper-V, VMWare đã phát hành bản cập nhật cho phần mềm máy ảo của mình.

Các hệ thống sử dụng Hyper-V hoặc bảo mật dựa trên ảo hóa có thể cần những thay đổi mạnh mẽ hơn. Điều này bao gồm vô hiệu hóa siêu phân luồng, sẽ làm chậm máy tính. Hầu hết mọi người sẽ không cần phải làm điều này, nhưng các quản trị viên Windows Server chạy Hyper-V trên CPU Intel sẽ cần xem xét nghiêm túc việc vô hiệu hóa siêu phân luồng trong BIOS của hệ thống để giữ an toàn cho máy ảo của họ.

Các nhà cung cấp đám mây như Microsoft Azure và Amazon Web Services cũng đang vá các hệ thống của họ để bảo vệ các máy ảo trên các hệ thống được chia sẻ khỏi bị tấn công.

Các bản vá có thể cần thiết cho các hệ điều hành khác. Ví dụ, Ubuntu đã phát hành bản cập nhật kernel Linux để bảo vệ chống lại các cuộc tấn công này. Apple vẫn chưa bình luận về cuộc tấn công này.

Cụ thể, các số CVE xác định các lỗ hổng này là CVE-2018-3615 cho cuộc tấn công vào Intel SGX, CVE-2018-3620 cho cuộc tấn công vào hệ điều hành và Chế độ quản lý hệ thống và CVE-2018-3646 cho cuộc tấn công vào quản lý máy ảo.

Trong một bài đăng trên blog, Intel cho biết họ đang nghiên cứu các giải pháp tốt hơn để cải thiện hiệu suất trong khi chặn các khai thác dựa trên L1TF. Giải pháp này sẽ chỉ áp dụng bảo vệ khi cần thiết, cải thiện hiệu suất. Intel cho biết họ đã cung cấp vi mã CPU trước khi phát hành với tính năng này cho một số đối tác và đang đánh giá việc phát hành nó.

Cuối cùng, Intel lưu ý rằng, L1TF cũng được giải quyết bằng những thay đổi mà chúng tôi đang thực hiện ở cấp độ phần cứng. Nói cách khác, CPU Intel trong tương lai sẽ chứa các cải tiến phần cứng để bảo vệ tốt hơn trước Spectre, Meltdown, Foreshadow và các cuộc tấn công dựa trên thực thi đầu cơ khác giảm hiệu suất.

Tín dụng hình ảnh: Robson90 / Shutterstock.com, Báo trước.