Så här skyddar du din dator från Intel-förskuggningsbristerna

Foreshadow, även känd som L1 Terminal Fault, är ett annat problem med spekulativ körning i Intels processorer. Det låter skadlig programvara bryta sig in i säkra områden som även Specter och Meltdown brister kunde inte spricka.

Vad är Foreshadow?

Specifikt attackerar Foreshadow Intels mjukvaruövervakningsfunktion (SGX). Detta är inbyggt i Intel-chips för att låta program skapa säkra "enklaver" som inte kan nås, även av andra program på datorn. Även om skadlig programvara fanns på datorn kunde den inte få tillgång till den säkra enklaven i teorin. När Specter och Meltdown tillkännagavs upptäckte säkerhetsforskare att SGX-skyddat minne var mestadels immun mot Specter and Meltdown-attacker.

Det finns också två relaterade attacker, som säkerhetsforskarna ringer "Foreshadow - Next Generation" eller Foreshadow-NG. Dessa tillåter åtkomst till information i systemhanteringsläge (SMM), operativsystemkärnan eller en virtuell maskinhypervisor. I teorin kan kod som körs i en virtuell maskin på ett system läsa information lagrad i en annan virtuell maskin på systemet, även om de virtuella maskinerna ska vara helt isolerade.

Foreshadow och Foreshadow-NG, som Specter och Meltdown, använder brister i spekulativt utförande. Moderna processorer gissar koden som de tror kan springa nästa och förebyggande utföra det för att spara tid. Om ett program försöker köra koden, är det bra, det är redan gjort, och processorn känner till resultaten. Om inte, kan processorn kasta resultaten bort.

Men detta spekulativa utförande lämnar viss information bakom. Till exempel, baserat på hur lång tid en spekulativ körningsprocess tar för att utföra vissa typer av förfrågningar kan programmen avleda vilken data som finns i ett minnesområde, även om de inte kan komma åt det här minnesområdet. Eftersom skadliga program kan använda dessa tekniker för att läsa skyddat minne kan de till och med få tillgång till data lagrade i L1-cacheminnet. Detta är lågnivån på CPU där säkra krypteringsnycklar lagras. Därför är dessa attacker också kända som "L1 Terminal Fault" eller L1TF.

För att dra nytta av Foreshadow behöver angriparen bara kunna köra kod på din dator. Koden kräver ingen speciella behörigheter. Det kan vara ett vanligt användarprogram utan låg systemåtkomst eller till och med programvara som körs inuti en virtuell maskin.

Sedan meddelandet om Specter och Meltdown har vi sett en stadig ström av attacker som missbrukar spekulativ körningsfunktionalitet. Till exempel påverkades angreppsspecifik angreppssats (SSB) på processorer från Intel och AMD, liksom vissa ARM-processorer. Det tillkännagavs i maj 2018.

Är Foreshadow som används i det vilda?

Foreshadow upptäcktes av säkerhetsforskare. Dessa forskare har ett proof-of-concept-med andra ord en funktionell attack - men de släpper inte ut den just nu. Detta ger alla tid att skapa, släppa och applicera fläckar för att skydda mot attacken.

Så här skyddar du din dator

Observera att endast datorer med Intel-chips är sårbara för Foreshadow i första hand. AMD-chips är inte sårbara för denna felaktighet.

De flesta Windows-datorer behöver bara operativsystemuppdateringar för att skydda sig från Foreshadow, enligt Microsofts officiella säkerhetsrådgivning. Kör bara Windows Update för att installera de senaste patcharna. Microsoft säger att det inte har märkt någon prestandaförlust från att installera dessa patchar.

Vissa datorer kan också behöva en ny Intel-mikrokod för att skydda sig. Intel säger att de är samma mikrokodsuppdateringar som släpptes tidigare i år. Du kan få ny firmware, om den är tillgänglig för din dator, genom att installera de senaste UEFI- eller BIOS-uppdateringarna från din PC eller moderkortstillverkare. Du kan också installera mikrokodsuppdateringar direkt från Microsoft.

Vilka systemadministratörer behöver veta

PC-datorer med hypervisorprogramvara för virtuella maskiner (till exempel Hyper-V) behöver också uppdateringar för den hypervisorprogramvaran. Till exempel, förutom en Microsoft-uppdatering för Hyper-V, har VMWare släppt en uppdatering för sin virtuella maskinprogramvara.

System som använder Hyper-V eller virtualiseringsbaserad säkerhet kan behöva mer drastiska förändringar. Detta inkluderar inaktiverande hyper-threading, vilket kommer att sakta ner datorn. De flesta behöver inte göra det här, men Windows Server-administratörer som kör Hyper-V på Intel-processorer måste allvarligt överväga att inaktivera hypertrådar i systemets BIOS för att hålla sina virtuella maskiner säkra.

Cloud-leverantörer som Microsoft Azure och Amazon Web Services klistrar också sina system för att skydda virtuella maskiner på delade system från attack.

Plåster kan vara nödvändiga för andra operativsystem. Till exempel har Ubuntu släppt Linux-kärnan uppdateringar för att skydda mot dessa attacker. Apple har ännu inte kommenterat denna attack.

Specifikt är CVE-nummer som identifierar dessa brister CVE-2018-3615 för attacken på Intel SGX, CVE-2018-3620 för attacken på operativsystemet och System Management Mode och CVE-2018-3646 för attacken på virtuell maskinchef.

I ett blogginlägg sa Intel att det fungerar bättre lösningar för att förbättra prestanda och blockera L1TF-baserade utnyttjanden. Denna lösning gäller endast skyddet vid behov, vilket förbättrar prestanda. Intel säger att den redan tillhandahållit pre-release-CPU-mikrokod med denna funktion till några partners och utvärderar att släppa den.

Slutligen konstaterar Intel att "L1TF också hanteras av förändringar som vi gör på hårdvarunivå." Med andra ord kommer framtida Intel-processorer att innehålla hårdvaruförbättringar för att bättre skydda mot Specter, Meltdown, Foreshadow och andra spekulativa exekveringsbaserade attacker med mindre prestanda förlust.

Bildkrediter: Robson90 / Shutterstock.com, Foreshadow.