Welke systemen zijn getroffen?
De SWAPGS-aanval treft nieuwere Intel-CPU's die speculatieve uitvoering gebruiken.
De SWAPGS-aanval treft nieuwere Intel-CPU's die speculatieve uitvoering gebruiken.
Bij het streven naar steeds snellere CPU's hebben leveranciers verschillende versies van speculatieve code-uitvoering geïmplementeerd. Bij deze techniek maakt de CPU gefundeerde aannames over programmainstructies die mogelijk nodig kunnen zijn, nog voordat vaststaat dat ze ook daadwerkelijk uitgevoerd moeten worden. Deze zogeheten speculatieve uitvoering kan sporen achterlaten in de cache, die door aanvallers gebruikt kunnen worden om data te exfiltreren uit geprivilegieerd kernelgeheugen.
De nieuwe aanval maakt gebruik van een combinatie van speculatieve uitvoering door Intel-CPU's van een specifieke instructie (SWAPGS) en het gebruik van die instructie door Windows-besturingssystemen binnen een zogeheten gadget.
Wat het onderzoek naar dergelijke aanvallen baanbrekend maakt in vergelijking met cyberaanvallen tegen meer traditionele kwetsbaarheden, is dat het doordringt tot de kern van de werking van moderne CPU's. Om gedegen onderzoek te kunnen doen, moeten onderzoeksteams een compleet begrip hebben van de interne CPU-componenten (branch-voorspelling, out-of-order uitvoering, speculatieve uitvoering, pijplijnen en caches), interne functies van het besturingssysteem (systeemaanroepen, afhandeling van interrupts en uitzonderingen, KPTI) en aanvallen op side-channels en speculatieve uitvoering in het algemeen.
Niet-gepatchte Windows-systemen die draaien op 64-bits Intel-hardware zijn vatbaar voor lekken van gevoelig kernelgeheugen, ook vanuit de gebruikersmodus. De SWAPGS-aanval omzeilt alle bekende mitigatietechnieken die zijn ingezet tegen eerdere side-channel aanvallen op kwetsbaarheden van speculatieve uitvoering.
Het mitigeren van deze kwetsbaarheden is een enorme uitdaging. Omdat deze kwetsbaarheden diep in de structuur en werking van moderne CPU's verscholen liggen, moet volledige eliminatie gepaard gaan met ofwel het vervangen van de hardware, of het uitschakelen van functionaliteit die de prestaties aanzienlijk verbetert. Verder is het ontwikkelen van mitigatiemechanismen zeer gecompliceerd en kan mitigatie de prestatieverbeteringen als gevolg van speculatieve uitvoering in de weg staan. Als we de mogelijkheid van side-channel aanvallen tegen speculatieve uitvoering van Intel-CPU's volledig willen elimineren, zouden we hyperthreading volledig moeten uitschakelen. Dit zou uiteraard de systeemprestaties ernstig aantasten.
Sinds de publicatie van Meltdown en Spectre hebben onderzoekers de speculatieve uitvoeringsfunctie van moderne CPU's onder de loep genomen, met name side-channel aanvallen gericht op deze innovatieve functie.
Researchers van Bitdefender hebben meer dan een jaar met Intel samengewerkt voordat deze nieuwe aanval openbaar werd gemaakt. Bitdefender heeft bovendien nauw samengewerkt met Microsoft, dat een patch heeft ontwikkeld en gepubliceerd. Ook andere leveranciers in het ecosysteem zijn hierbij betrokken.
Bitdefender heeft een diepgravende whitepaper gepubliceerd, inclusief een gedetailleerde tijdlijn van de openbaarmakingen, waarin het onderzoek achter de aanval wordt beschreven. Bitdefender heeft bovendien blogposts gepubliceerd waarin de aanval wordt uitgelegd, alsmede een video waarin deze wordt gedemonstreerd.
"Hoewel het implementeren van de patch van Microsoft ten zeerste wordt aanbevolen, biedt Bitdefender Hypervisor Introspection een compenserend controlemechanisme voor de preventie van aanvallen."
Bitdefender heeft laten zien hoe Hypervisor Introspection de aanval blokkeert door de randvoorwaarden weg te nemen die de aanval nodig heeft om succesvol te zijn op niet-gepatchte Windows-systemen. Deze mitigatie introduceert geen merkbare prestatievermindering. Hoewel implementatie van de patch van Microsoft ten zeerste wordt aanbevolen, biedt Hypervisor Introspection een effectief, compenserend controlemechanisme voor de periode totdat de systemen gepatcht kunnen worden.
Hypervisor Introspection analyseert het geheugen van gast-VM's en identificeert mogelijk verdachte objecten. Bitdefender heeft deze kwetsbaarheid gemitigeerd, nog vóór de release van een bruikbare patch, door alle kwetsbare SWAPGS-instructies te instrumenteren om te waarborgen dat ze niet speculatief worden uitgevoerd. Hierdoor worden lekken vanuit het kernelgeheugen voorkomen.
Ondanks alle inspanningen hebben veel organisaties moeite om patches volgens de ideale tijdlijn te implementeren. Hypervisor Introspection helpt deze organisaties de kloof te overbruggen tussen de openbaarmaking van ernstige beveiligingsrisico's en de implementatie van patches.
Hypervisor-introspectie is uniek voor Bitdefender. Momenteel wordt Hypervisor Introspection ondersteund met Citrix Hypervisor, Xen en KVM als technologiepreview.
Hypervisor Introspection maakt gebruik van de inherente voordelen van de positie van hypervisors in vergelijking met de onderliggende hardware en gevirtualiseerde besturingssystemen, waaronder Windows, Linux en virtuele desktops en servers. Het rauwe geheugen van draaiende virtuele machines wordt in realtime geïnspecteerd. Hypervisor Introspection zoekt naar tekenen van geheugengebaseerde aanvalstechnieken die worden gebruikt om bekende of onbekende kwetsbaarheden te gebruiken.
Hypervisor Introspection is een krachtige beveiligingstechniek die uniek is voor Bitdefender. De R&D-teams van Bitdefender hebben met Xen Project samengewerkt om Virtual Machine Introspection (VMI) binnen de Xen-hypervisor uit te breiden. Citrix heeft de functionaliteit in Citrix Hypervisor overgenomen als Direct Inspect API's . Bitdefender blijft ook samenwerken met KVM en andere open-source gemeenschappen, terwijl we eveneens onderzoek en ontwikkeling blijven doen voor niet-gevirtualiseerde scenario's, zoals embedded systemen.
Een ander illustratief voorbeeld van de capaciteiten van Hypervisor Introspection speelde zich af vóór de release van EternalBlue, dat later werd gebruikt in de WannaCry-ransomware. Zonder kennis van de specifieke cyberaanval of de onderliggende kwetsbaarheid kon Hypervisor Introspection deze aanval al blokkeren, omdat die gebruikmaakte van buffer-overflowing.
Hoewel het gebruik van buffer-overflows om kwetsbaarheden te misbruiken niet nieuw is, liet de snelle adoptie van EternalBlue door de WannaCry-aanvallers nogmaals zien dat organisaties kritieke patches vaak niet snel genoeg kunnen implementeren om cyberaanvallen te voorkomen. Of het nu gaat om bekende aanvalstechnieken zoals buffer-overflow, heap-spraying en programmacode-injectie, of zeer geavanceerde aanvallen die misbruik maken van kwetsbaarheden op het diepste niveau van de hardware, het is duidelijk dat organisaties een nieuwe beveiligingsaanpak moeten toevoegen aan hun beveiligingsarsenaal, zoals Hypervisor Introspection.
Hypervisor Introspection laat zien hoe leveranciers van cyberbeveiliging, hardware, virtualisatie en besturingssystemen effectief kunnen samenwerken om krachtige nieuwe beveiligingstechnieken te ontwikkelen die een wal kunnen opwerpen tegen zeer geavanceerde aanvallen.
De SWAPGS-aanval profiteert via een side-channel van een fout in het speculatieve uitvoeringsregime van moderne Intel-CPU's. Deze aanval omzeilt de mitigatiemechanismen die worden ingezet om eerdere aanvallen te dwarsbomen. Aangezien de aanval gebruikmaakt van de SWAPGS-instructie wanneer deze speculatief wordt uitgevoerd, wordt het nadrukkelijk aanbevolen om patches toe te passen voor besturingssystemen die op speculatieve wijze gebruikmaken van SWAPGS. Gezien de reikwijdte van de research door het Bitdefender-team dat de SWAPGS-aanval ontdekte, is alleen de kwetsbaarheid bekend van systemen die het Windows-besturingssysteem hosten op moderne Intel-CPU's met ondersteuning voor speculatieve uitvoering. Totdat patches kunnen worden toegepast, wordt nadrukkelijk aanbevolen om werklasten die in kwetsbare besturingssystemen worden uitgevoerd, te verplaatsen naar hosts met Bitdefender Hypervisor Introspection via Citrix Hypervisor of Xen.
In mei 2019 gaf Bitdefender in een blogpost een samenvatting van het onderzoek naar een ander side-channel aanvalsmechanisme op basis van speculatieve uitvoering. Op dat moment, zoals vermeld in de openbaarmakingstijdlijn in de whitepaper, hebben we ingestemd met uitstel van de publicatie van onze diepgravende research-whitepaper over side-channel aanvallen via speculatieve uitvoering. De nieuwe whitepaper ("Security implications of speculatively executing segmentation related instructions on Intel CPUs") is geschreven door dezelfde twee auteurs van de whitepaper over de SWAPGS-aanval. De nieuwe whitepaper is hier beschikbaar.
A. Gevoelige informatie kan alles zijn waarmee een aanvaller een aanval verder kan ontwikkelen. Bijvoorbeeld pointers of adressen waarmee een aanvaller een privilege-escalatie kan voortzetten. Een aanvaller kan ook andere stukjes gevoelige informatie, zoals wachtwoorden, encryptiesleutels, tokens of inloggegevens uit het kernelgeheugen exfiltreren.
A. Als de gestolen informatie een cybercrimineel in staat stelt om zijn aanval verder te ontwikkelen (bijvoorbeeld via privilege-escalatie), dan is dit inderdaad mogelijk.
A. Alle Intel-CPU's die SWAPGS- en WRGSBASE-instructies ondersteunen, worden getroffen. Dit betekent eigenlijk alle CPU's vanaf Intel Ivy Bridge (geïntroduceerd in 2012) tot de nieuwste processorserie op de markt.
A. Elk apparaat met een Intel Ivy Bridge of nieuwere CPU wordt getroffen: desktops, laptops, servers enzovoort. Zowel thuisgebruikers als zakelijke gebruikers worden getroffen door deze kwetsbaarheid.
A. We verwachten dat Apple-apparaten NIET kwetsbaar zijn, maar we moeten wachten op hun officiële standpunt zodra alle informatie is vrijgegeven.