Ce sisteme sunt afectate?
Atacul SWAPGS afectează versiunile noi de procesoare Intel care utilizează execuția speculativă.
Atacul SWAPGS afectează versiunile noi de procesoare Intel care utilizează execuția speculativă.
În încercarea de a crea procesoare tot mai rapide, furnizorii au implementat diferite versiuni de execuție speculativă. Această funcționalitate permite procesorului să facă presupuneri informate cu privire la anumite instrucțiuni care ar putea fi obligatorii înainte de a determina dacă sunt, într-adevăr, obligatorii. Această execuție speculativă poate lăsa urme în memoria cache, pe care atacatorii le pot utiliza pentru a publica memoria kernel bazată pe drepturi de acces.
Acest atac profită de o combinație dintre execuția speculativă a unei anumite instrucțiuni (SWAPGS) de către procesoarele Intel și utilizarea respectivei instrucțiuni de către sistemele de operare Windows în cadrul a ceea ce este cunoscut sub numele gadget.
Ceea ce face ca cercetarea acestor atacuri să fie atât de avansată comparativ cu atacurile cibernetice care vizează vulnerabilitățile tradiționale este faptul că vizează principiile de bază după care operează procesoarele moderne. Pentru a efectua investigații adecvate, echipele de cercetare trebuie să înțeleagă foarte bine aspectele interne ale procesorului (predicția branch-urilor, execuție out-of-order, executare speculativă, pipeline și memorii cache), aspectele interne ale sistemului de operare (apeluri de sistem, gestionarea întreruperilor și a excepțiilor și KPTI) și atacurile side-channel și de execuție speculativă în general
Sistemele Windows fără patch-uri de securitate, care rulează pe hardware Intel de 64 de biți sunt predispuse la scurgerile de date din memoriile kernel sensibile, inclusiv din modul utilizatori. Atacul SWAPGS evită toate tehnicile de remediere cunoscute, implementate împotriva atacurilor side-channel anterioare asupra vulnerabilităților execuției speculative.
Remedierea acestor vulnerabilități este extrem de dificilă. Deoarece sunt ascunse adânc în structura și modul de operare al procesoarelor moderne, eliminarea completă a vulnerabilităților implică fie înlocuirea hardware-ului, fie dezactivarea funcționalității care sporește considerabil performanța. În același mod, crearea unor mecanisme de remediere este foarte complexă și poate reduce avantajele de performanță obținute de caracteristicile de execuție speculativă. De exemplu, eliminarea completă a posibilității apariției unor atacuri side-channel împotriva funcționalității de execuție speculativă a procesoarelor Intel ar necesita dezactivarea completă a caracteristicii de hyperthreading, ceea ce ar duce la o scădere considerabilă a performanței.
Încă de la publicarea vulnerabilităților Meltdown și Spectre, cercetătorii au analizat caracteristica de execuție speculativă a procesoarelor moderne, în special atacurile side-channel care vizează caracteristica axată pe performanță a procesoarelor moderne.
Cercetătorii Bitdefender au colaborat cu Intel timp de mai bine de un an înainte de dezvăluirea publică a acestui nou atac. De asemenea, Bitdefender a colaborat îndeaproape și cu Microsoft, care a dezvoltat și publicat un patch de securitate pentru acesta. Au fost implicați, de asemenea, și alți furnizori din ecosistem.
Bitdefender a publicat un raport detaliat, inclusiv o cronologie amănunțită a dezvăluirii, care descrie cercetarea din spatele atacului. De asemenea, Bitdefender a publicat și articole de blog în care explică atacuri, precum și un videoclip care îl demonstrează.
„Deși se recomandă insistent instalarea patch-ului de securitate de la Microsoft, soluția Bitdefender Hypervisor Introspection asigură un control provizoriu care previne atacul.”
Bitdefender a demonstrat modul în care soluția Hypervisor Introspection blochează atacul eliminând condițiile de care are nevoie pentru a avea succes pe sistemele Windows fără patch-ul de securitate. Această remediere nu cauzează o degradate sesizabilă a performanței. Deși se recomandă insistent instalarea patch-ului de securitate de la Microsoft, soluția Hypervisor Introspection oferă un control provizoriu eficient până la instalarea patch-ului de securitate pe sisteme.
Hypervisor Introspection analizează memoria mașinilor virtuale gazdă și identifică obiectele de interes. Bitdefender a remediat această vulnerabilitate înainte de lansare vreunul patch de securitate aplicabil, instrumentând fiecare instrucțiune SWAPGS vulnerabilă pentru a se asigura că nu se execută speculativ, prevenind scurgerile de date din memoria kernel.
În ciuda eforturilor depuse, numeroase organizații întâmpină dificultăți la instalarea de patch-uri de securitate în timp util. Hypervisor Introspection le ajută să acopere perioada dintre lansarea și instalarea patch-urilor de securitate pentru vulnerabilitățile grave de securitate.
Hypervisor Introspection este o soluție unică pentru Bitdefender. În prezent, este compatibilă cu Citrix Hypervisor, Xen și KVM ca tehnologie anticipativă (technology preview).
Hypervisor Introspection utilizează avantaje inerente obținute de la poziția hypervisorilor în raport cu hardware-ul de la bază și cu sistemele de operare virtualizate, inclusiv Windows, Linux și mașinile virtuale tip desktop și server. În timp real, Hypervisor Introspection inspectează memoria brută a mașinilor virtuale active. Caută semne care să indice prezenta unor tehnici de atac bazate pe memorie, utilizate pentru a exploata vulnerabilitățile cunoscute și necunoscute.
Hypervisor Introspection este o soluție de securitate puternică și unică pentru Bitdefender. Departamentul de cercetare și dezvoltare de la bitdefender a colaborat cu Xen Project pentru a extinde Virtual Machine Introspection (VMI) în cadrul hypervisorului Xen. Citrix a adoptat funcționalitatea pentru Citrix Hypervisor sub forma API-urilor Direct Inspect De asemenea, Bitdefender continuă să lucreze cu KVM și cu alte comunități open source, desfășurând totodată cercetarea și dezvoltarea suplimentară pentru scenariile nevirtualizate, cum ar fi sistemele integrate.
Un alt exemplu de mare importanță în ceea ce privește capabilitățile Hypervisor Introspection a apărut înainte de lansarea EternalBlue, care a fost utilizat ulterior în cadrul valului de ransomware WannaCry. Fără a avea cunoștințe despre atacul cibernetic specific sau despre vulnerabilitatea de bază, Hypervisor Introspection a blocat atacul, deoarece se bazează pe o tehnică de atac de tip buffer overflow.
Deși utilizarea tehnicii buffer overflow pentru a exploata vulnerabilitățile nu este nouă, adoptarea rapidă a EternalBlue de către infractorii WannaCry a demonstrat încă o dată faptul că organizațiile adesea nu pot aplica patch-uri de securitate de importanță critică la timp pentru a preveni atacurile cibernetice. Indiferent dacă luăm în considerare tehnici de atac simple, cum ar fi buffer overflows, heap spray și injectarea de cod, sau atacuri extrem de sofisticate care exploatează vulnerabilități la nivelul celor mai profunde niveluri ale funcționalității hardware, este clar că organizațiile trebuie să introducă o nouă abordare de securitate, cum ar fi Hypervisor Introspection, în sistemul de securitate.
Hypervisor Introspection demonstrează modul în care furnizorii de soluții de securitate, hardware, soluții de virtualizare și sisteme de operare pot coopera pentru a crea noi abordări puternice de securitate care urmăresc să blocheze atacurile extrem de sofisticate.
Atacul SWAPGS exploatează, printr-un atac side-channel, o vulnerabilitate a regimului de execuție speculativă al procesoarelor Intel moderne. Acest atac evită mecanismele de remediere puse în aplicare pentru combaterea atacurilor anterioare. Deoarece atacul folosește instrucțiunea SWAPGS atunci când este activată în mod speculativ, se recomandă aplicarea de patch-uri pentru sistemele de operare care pot folosi SWAPGS în mod speculativ. Având în vedere sfera cercetărilor efectuate de echipa Bitdefender care a descoperit atacul SWAPGS, sistemele cunoscute ca fiind vulnerabile sunt limitate la cele care găzduiesc sistemul de operare Windows pe procesoare Intel moderne, capabile să ruleze execuții speculative. Până când patch-urile pot fi aplicate, se recomandă să mutați workload-urile care rulează în sistemele de operare vulnerabile pe gazde care rulează Bitdefender Hypervisor Introspection prin Citrix Hypervisor sau Xen.
În mai 2019, o postare pe blogul Bitdefender a rezumat cercetările cu privire la un alt mecanism de atac de tip side-channel bazat pe execuția speculativă. La acea vreme, așa cum este descris în cronologia dezvăluirii din raport, am convenit să amânăm publicarea raportului detaliat de cercetare privind mecanismele side-channel de execuție speculativă descoperite. Raportul, intitulat „Implicații de securitate ale execuției speculative a instrucțiunilor legate de segmentare la nivelul procesoarelor Intel”, este scris de aceiași doi cercetători care au redactat și raportul privind atacul SWAPGS și este disponibil aici .
R. Informațiile sensibile pot fi considerate orice informații care ar putea permite infractorilor să consolideze un atac. De exemplu, indicatori sau adrese care pot permite unui infractor să obțină drepturi superioare de acces. Un atacator ar putea, de asemenea, să extragă alte informații sensibile, cum ar fi parole, chei de criptare, tokenuri sau date de autentificare, care pot fi prezente în memoria kernelului.
R. Dacă informațiile extrase inițial permit infractorului să consolideze un atac (de exemplu, să obțină drepturi superioare de acces), da, acest lucru este posibil.
R. Toate procesoarele Intel care acceptă instrucțiuni SWAPGS și WRGSBASE sunt afectate. Aceasta înseamnă practic orice procesor, începând cu Intel Ivy Bridge (introdus în 2012), până la cea mai recentă serie de procesoare de pe piață.
R. Orice dispozitiv care rulează un procesor Intel Ivy Bridge sau un procesor mai nou: desktopuri, laptopuri, servere etc. Atât utilizatorii individuali, cât și companiile sunt afectate de această vulnerabilitate.
R. Ne așteptăm ca dispozitivele Apple NU să fie vulnerabile, dar rămâne de văzut care va fi poziția lor oficială odată ce totul este lansat.
Suntem aici pentru a vă ajuta să alegeți soluția sau serviciul care se potrivește cel mai bine companiei dumneavoastră
