What it is, and how to not let Spectre wreak havoc again

I ricercatori di Bitdefender hanno identificato e dimostrato una nuova tecnica di attacco side-channel. L'attacco si basa su ricerche precedenti che hanno portato agli attacchi Spectre e Meltdown. Questo attacco appena divulgato aggira tutti i meccanismi di mitigazione noti implementati per contrastare Spectre e Meltdown. Bitdefender Hypervisor Introspection rende i sistemi Windows impermeabili al nuovo attacco.

L'attacco SWAPGS colpisce le CPU Intel più recenti che sfruttano l'esecuzione speculativa.

Breve panoramica

Nella loro ricerca di CPU sempre più veloci, i venditori hanno implementato varie versioni di esecuzione speculativa. Questa funzionalità fa in modo che la CPU esegua delle previsioni plausibili sulle istruzioni che possono essere richieste prima che siano effettivamente richieste. Questo tipo di esecuzione speculativa può lasciare tracce nella cache, che gli aggressori possono utilizzare per violare la memoria kernel e privilegiata.

Questo attacco sfrutta in modo combinato l'esecuzione speculativa di Intel di un'istruzione specifica (SWAPGS) e l'utilizzo di tale istruzione da parte dei sistemi operativi Windows all'interno di quello che è noto come gadget.

Ciò che rende la ricerca relativa a questi attacchi un'attività pionieristica rispetto a quella riguardante attacchi diretti verso vulnerabilità più tradizionali ha che fare con la radice stessa del funzionamento delle moderne CPU. Per effettuare indagini adeguate, i team di ricerca devono possedere una conoscenza approfondita del funzionamento interno delle CPU (predizione delle diramazioni, esecuzione fuori ordine, esecuzione speculativa, pipeline e cache), dei sistemi operativi (chiamate di sistema, gestione di interruzioni ed eccezioni, KPTI), nonché degli attacchi side-channel e degli attacchi basati su esecuzione speculativa in generale

Impatto

I sistemi Windows privi di patch eseguiti su hardware Intel a 64 bit sono soggetti a perdite di memoria kernel sensibile, anche dalla modalità utente. L' attacco SWAPGS aggira tutte le tecniche di mitigazione note implementate contro precedenti attacchi side-channel verso vulnerabilità dell'esecuzione speculativa.

Contrastare queste vulnerabilità è estremamente difficile. Poiché le vulnerabilità si trovano ben in profondità all'interno della struttura e del funzionamento delle CPU moderne, per rimuoverle del tutto è necessario sostituire l'hardware o disattivare funzionalità che migliorano notevolmente le prestazioni. Analogamente, predisporre meccanismi di mitigazione è estremamente complesso e può vanificare il guadagno in termini di prestazioni ottenuto grazie alla funzione di esecuzione speculativa. Ad esempio, per eliminare completamente la possibilità di attacchi side-channel contro la funzionalità di esecuzione speculativa delle CPU Intel sarebbe necessario disabilitare completamente l'hyperthreading, il che ridurrebbe notevolmente le prestazioni.

Com'è stato scoperto e reso pubblico l'attacco SWAPGS

Dalla pubblicazione di Meltdown e Spectre, i ricercatori hanno esaminato a fondo la funzionalità di esecuzione speculativa delle moderne CPU, in particolare gli attacchi side-channel che prendono di mira la funzione di aumento delle prestazioni delle moderne CPU.

I ricercatori di Bitdefender hanno collaborato con Intel per più di un anno prima di rendere pubblici i dettagli di questo nuovo attacco. Bitdefender ha anche lavorato a stretto contatto con Microsoft, sviluppando e pubblicando una patch. Sono stati coinvolti anche altri fornitori dell'ecosistema.

Bitdefender ha pubblicato un white paper approfondito, inclusa una cronologia dettagliata della divulgazione, che descrive la ricerca dietro l'attacco. Bitdefender ha anche pubblicato post sul blog che spiega l'attacco, oltre a un video dimostrativo.

Quali sistemi sono interessati?

L' attacco SWAPGS colpisce le CPU Intel più recenti che sfruttano l'esecuzione speculativa.

Mitigazione

"Anche se raccomandiamo fortemente di implementare la patch di Microsoft, Bitdefender Hypervisor Introspection fornisce un controllo compensativo in grado di prevenire l'attacco."

Bitdefender ha dimostrato come Hypervisor Introspection blocca l'attacco eliminando le condizioni necessarie affinché possa avere successo su sistemi Windows privi di patch. Questo strumento di mitigazione non ha comportato alcun calo apprezzabile nelle prestazioni. "Anche se raccomandiamo fortemente di implementare la patch di Microsoft, Bitdefender Hypervisor Introspection fornisce un controllo compensativo fino a quando non è possibile patchare i sistemi.

Hypervisor Introspection analizza la memoria delle macchine virtuali guest e identifica gli elementi rilevanti. Bitdefender ha mitigato questa vulnerabilità prima del rilascio di qualsiasi patch applicabile, procedendo alla strumentazione di tutte le istruzioni SWAPGS vulnerabili per garantire che non vengano eseguite in modo speculativo, impedendo così perdite di memoria kernel.

Nonostante i loro sforzi, molte organizzazioni faticano a distribuire le patch in modo tempestivo. Hypervisor Introspection li aiuta a colmare il divario tra il rilascio e la distribuzione di patch per gravi vulnerabilità di sicurezza.

Hypervisor Introspection è un'esclusiva di Bitdefender. Oggi è supportato con Citrix Hypervisor, Xen e KVM come anteprima tecnologica.

Informazioni su Hypervisor Introspection

Hypervisor Introspectionsfrutta i vantaggi intrinseci derivanti dalla posizione degli hypervisor rispetto all'hardware sottostante e ai sistemi operativi virtualizzati, tra cui macchine virtuali desktop, server e Windows e Linux. Hypervisor Introspection esamina in tempo reale la memoria grezza delle macchine virtuali in esecuzione. Cerca segnali di tecniche di attacco basate sulla memoria costantemente utilizzate per sfruttare le vulnerabilità, sia note che sconosciute.

Hypervisor Introspection costituisce un potente approccio alla sicurezza ed è un'esclusiva di Bitdefender. Il reparto di ricerca e sviluppo di Bitdefender ha collaborato con Xen Project per estendere Virtual Machine Introspection (VMI) all'interno dell'hypervisor Xen. Citrix ha adottato questa funzionalità in Citrix Hypervisor come Direct Inspect API. Bitdefender continua inoltre collaborare con KVM e altre community open source, oltre a portare avanti ulteriori attività di ricerca e sviluppo per scenari non virtualizzati come i sistemi embedded.

Un altro esempio di rilievo delle capacità di Hypervisor Introspection risale a prima della release di EternalBlue, successivamente utilizzata nell'ondata di attacchi ransomware WannaCry. Senza alcuna conoscenza sullo specifico attacco informatico o sulla vulnerabilità sottostante, Hypervisor Introspection ha bloccato l'attacco, poiché sfrutta una tecnica di attacco di buffer overflow.

Anche se l'utilizzo del buffer overflow per sfruttare le vulnerabilità non è in sé una novità, la rapida adozione di EternalBlue da parte degli aggressori che usavano WannaCry ha dimostrato, ancora una volta, che spesso le organizzazioni non sono in grado di implementare patch critiche in tempo per prevenire gli attacchi informatici. Sia per quanto riguarda tecniche di attacco comprovate e collaudate come buffer overflow, heap spray e code injection, che per attacchi altamente sofisticati che sfruttano le vulnerabilità nei livelli più profondi delle funzionalità dell'hardware, è chiaro che le organizzazioni devono aggiungere un nuovo livello di protezione, come Hypervisor Introspection, nel loro approccio alla sicurezza.

Hypervisor Introspection dimostra in che modo i fornitori di sistemi di protezione, virtualizzazione, operativi e di hardware possono collaborare per sviluppare approcci nuovi ed efficaci alla sicurezza, per arginare la marea di attacchi altamente sofisticati.

Suggerimenti

L'attacco SWAPGS Attack sfrutta, tramite un attacco side-channel, un difetto nel regime di esecuzione speculativa delle moderne CPU Intel. Questo attacco ignora i meccanismi di mitigazione posti in essere per contrastare gli attacchi precedenti. Poiché l'attacco sfrutta l'istruzione SWAPGS quando viene attivata in modo speculativo, per i sistemi operativi che potrebbero utilizzare lo SWAPGS è fortemente consigliata l'implementazione di patch. Dato l'ambito della ricerca eseguita dal team di Bitdefender che ha scoperto l'attacco SWAPGS, i sistemi vulnerabili noti si limitato a quei sistemi che ospitano il sistema operativo Windows su moderne CPU Intel in grado di utilizzare la funzionalità di esecuzione speculativa. Fino a quando non è possibile implementare le patch, consigliamo vivamente di spostare i workload in esecuzione in sistemi operativi vulnerabili verso host che eseguono Bitdefender Hypervisor Introspection tramite Citrix Hypervisor o Xen.

Precedente divulgazione limitata di altre ricerche da parte di Bitdefender

A maggio 2019, abbiamo pubblicato sul blog di Bitdefender un post di riepilogo sulla ricerca relativa a un altro meccanismo di attacco side-channel basato sull'esecuzione speculativa. All'epoca, come descritto nella timeline di divulgazione contenuta nel white paper, abbiamo accettato di sospendere la pubblicazione del white paper di ricerca approfondito sui meccanismi side-channel dell'esecuzione speculativa individuati. Il white paper, intitolato "Security implications of speculatively executing segmentation related instructions on Intel CPU", è stato scritto dagli stessi due ricercatori del white paper sugli attacchi SWAPGS ed è disponibile qui.

D. Quali sono le informazioni più sensibili tra quelle conservate nei kernel? Le password? Le credenziali di accesso?

R. Le informazioni sensibili possono essere qualsiasi cosa in grado di consentire all'aggressore di sviluppare ulteriormente il proprio attacco. Ad esempio, puntatori o indirizzi che possono permettere a un malintenzionato di eseguire un'escalation dei privilegi. Un aggressore può anche esfiltrare altre informazioni sensibili, come password, chiavi di crittografia, token o credenziali di accesso, che potrebbero essere presenti nella memoria del kernel.

D: Questa vulnerabilità può compromettere i dati di carte di credito memorizzati negli account e nei browser Google?

R. Se le informazioni rubate inizialmente consentono al criminale informatico di sviluppare ulteriormente un attacco (ad esempio un'escalation di privilegi), sì, è possibile.

D. Quali processori Intel sono interessati? Di quali serie e di quali anni?

R. Sono interessate tutte le CPU Intel che supportano istruzioni SWAPGS e WRGSBASE. Questo significa praticamente qualunque cosa compresa tra Intel Ivy Bridge (introdotto nel 2012) e l'ultima serie di processori introdotti sul mercato.

D. Che tipi di dispositivi sono interessati? Solo i server? I computer desktop e laptop sono a rischio?

R. Qualsiasi dispositivo con Intel Ivy Bridge o una CPU più recente: desktop, laptop, server, ecc. Questa vulnerabilità colpisce tanto gli utenti domestici quanto quelli enterprise.

D. Se uso Apple, sono a rischio?

R. Ci aspettiamo che i dispositivi Apple NON siano vulnerabili, ma dobbiamo aspettare le loro indicazioni ufficiali in seguito alla pubblicazione completa.