Load Value Injection, Bitdefender ha scoperto una nuova vulnerabilità hardware in tutte le CPU Intel prodotte dal 2011
di Alberto Falchi , Vittorio Manti pubblicata il 10 Marzo 2020, alle 18:01 nel canale Security
La vulnerabilità è presente in tutti i processori Intel dal 2011. L'exploit per sfruttare la vulnerabilità è molto complesso ma non esiste una patch e probabilmente non verrà mai sviluppata. L'unica soluzione individuata da Bitdefender è disabilitare l'Hyperthreading.
Bitdefender ha appena reso noto che i processori Intel prodotti a partire dal 2011 presentano una vulnerabilità che può essere potenzialmente sfruttata con un'exploit side-channel attack, simile alle tecniche Meltdown e Spectre. La nuova tecnica, chiamata Load Value Injection, può sfruttare la stessa vulnerabilità dei precedenti exploit, che però si limitavano soltanto a leggere dati in memoria, mentre con l'LVI si può, teoricamente, prendere possesso della macchina in cui è installato il processore. I risultati della ricerca di Bitdefender sono stati pubblicati nel CVE-2020-0551 (Common Vulnerabilities and Exposures).
Intel è stata avvertita del problema il 10 febbraio e, come avviene sempre in questi casi, è stato definito un embargo sui risultati della ricerca per permettere di analizzare i risultati prima di renderli pubblici tramite un post sul blog ufficiale dell'azienda.
“I ricercatori hanno identificato un nuovo sistema denominato Load Value Injection (LVI)" - ha dichiarato un portavoce di Intel - "Per via dei numerosi e complessi requisiti che devono essere soddisfatti per poterlo attuare con successo, Intel non crede che questo sia un metodo pratico nelle situazioni reali in cui ci affidiamo a OS e VMM. Nuove linee guida e strumenti per la mitigazione di LVI sono ora disponibili e funzionano congiuntamente alle mitigazioni già rilasciate per ridurre sostanzialmente la superficie complessiva dell’attacco. Ringraziamo i ricercatori che hanno lavorato con noi e i nostri partner del settore per il loro contributo nella divulgazione coordinata di queste informazioni".
LVI-LFB - l'evoluzione di Meltdown e Spectre
Load Value Injection in the Line Fill Buffers, LVI-LFB in breve, è il nome dato dai ricercatori di Bitdefender alla vunerabilità trovata nelle CPU Intel. L'approccio non è molto differente da quanto usato dai due ormai noti side-channel attack che, lo ricordiamo, permettevano di leggere il contenuto della memoria protetta, che teoricamente dovrebbe essere inaccessibile. I ricercatori hanno però avuto un'intuizione e invece di limitarsi a leggere i dati dalla memoria, hanno trovato un modo di scriverli. Così facendo, possono riuscire a prendere il controllo del sistema. Non solo: un simile attacco non lascia alcuna traccia, quindi anche un'analisi forense non sarebbe in grado di rilevare un'eventuale violazione.
Per poter sfruttare questa vulnerabilità devono verificarsi specifiche condizioni e, soprattutto, deve essere impartita un'istruzione di memory load che richiede un microcode assist. Sfruttare l'exploit non è facile, e per riuscirci devono verificarsi le seguenti condizioni:
- Sul sistema vittima deve essere in esecuzione un gadget (codice ad-hoc) adatto a sfruttare la vulnerabilità. Questo dipende molto dalla configurazione software del computer
- Assicurarsi che l'istruzione pivot (quella usata per sfruttare la vulnerabilità) incorra in un microcode assist, così che possa caricare i dati dell'attaccante. Questa, secondo i ricercatori è una delle operazioni più complicate
- Bisogna trovare il modo di trasmettere i dati dalla vittima all'attaccante
LVI-LFB - non ci sono patch
Le patch applicate per correggere i problemi delle vulnerabilità Spectre e Meltdown non sono efficaci per questo nuovo tipo di side-channel attack. Secondo Bitdefender disabilitare l'Hyper-threading è al momento la soluzione più efficace, nonché l'unica nota, ma questo significa dimezzare o quasi le prestazioni del sistema. L'unico modo per eliminare del tutto il problema è intervenire fisicamente sul processore. Probabilmente le prossime generazioni di CPU Intel verranno sviluppate tenendo conto di questa scoperta, ma fino a quel momento, c'è poco da fare, dato che tutti i processori prodotti dall'azienda di Santa Clara dal 2011 sono vulnerabili.
Le implicazioni della vulnerabilità nei processori Intel
Diciamo subito che gli utenti domestici non dovrebbero preoccuparsi più di tanto e chi ha una CPU Intel può dormire sonni tranquilli, anche se è vulnerabile. Per effettuare l'exploit servono competenza, molto tempo e ingenti risorse: il tipico hacker mosso dal denaro, continuerà a concentrarsi su classici attacchi di spam e ransomware su questo tipo di pubblico.
Differente il discorso per i datacenter, strutture dove un singolo server fisico può gestire svariate macchine virtuali di differenti clienti. "Questa è una situazione che può far gola agli attaccanti sponsorizzati dagli stati", ci ha spiegato Bogdan Botezatu - Director of Threat Research and Reporting di Bitdefender, aggiungendo che per effettuare l'exploit "basta" (si fa per dire, visto che comunque è estremamente complesso) che un attaccante abbia accesso a una delle VM (virtual machine) del server.
Si potrà pensare che le grandi aziende, pensiamo al settore finanziario o quello delle utility, siano immuni dal problema, dato che pur appoggiandosi al cloud sfruttano nella maggior parte dei casi server dedicati e ultraprotetti, ma secondo Bogdan non bisogna trascurare gli attacchi che provengono dall'interno. Un dipendente infedele, o banalmente un infiltrato, potrebbero compromettere strutture altamente sensibili.
La soluzione, ribadisce Bogdan, è quella di disabilitare l'Hyper-threading, andando a impattare pesantemente sulla potenza di calcolo disponibile. Al momento i ricercatori di Bitdefender hanno trovato il modo di far eseguire codice arbitrario, ma non escludono che LVI-LFB possa essere sfruttato per sferrare un leak kernel-to-user o addirittura di superare altri sistemi di difesa, come le enclavi e l'hypervisor. In ogni caso, è stato reso disponibile su GitHub una proof-of-concept sintetica dell'exploit, così che altri ricercatori possano analizzarla.
Perché Bitdefender ha diffuso le informazioni su un exploit del quale non esiste una patch?
La mossa di Bitdefender può sembrare azzardata. Alla fine, l'azienda sta diffondendo informazioni su una grave vulnerabilità per la quale ancora non esiste una soluzione, In realtà, il produttore di soluzioni di sicurezza ha seguito tutti i protocolli del caso, contattando Intel e concordando un embargo per la pubblicazione del report. Bogdan ci ha infatti confermato che non sono stati gli unici a scoprire questi problemi, segnalati a Intel anche da vari ricercatori indipendenti. Il problema, insomma, è già noto, e tenerlo nascosto non aiuterebbe a risolverlo. Pubblicando tutte le informazioni, invece, si dà la possibilità alle aziende di correre ai ripari e agli sviluppatori di andare alla ricerca di soluzioni al problema che abbiano in impatto sulle prestazioni inferiore rispetto al disabilitare l'Hyper-threading.
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDevi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".