Vilka system påverkas?
SWAPGS-attacken påverkar nyare Intel-processorer som använder spekulativ exekvering.
SWAPGS-attacken påverkar nyare Intel-processorer som använder spekulativ exekvering.
I jakten på allt snabbare processorer har leverantörer implementerat olika versioner av spekulativ exekvering. Den här funktionen låter processorn göra välgrundade gissningar om instruktioner som kan krävas innan man avgör om instruktionerna faktiskt är nödvändiga. Den här spekulativa körningen kan lämna spår i cachen som angripare kan använda för att läcka privilegierat kärnminne.
Den här attacken drar fördel av en kombination av Intel-spekulativ exekvering av en specifik instruktion (SWAPGS) och användning av den instruktionen av Windows-operativsystem inom vad som kallas en gadget.
Det som gör forskningen kring dessa attacker banbrytande jämfört med cyberattacker mot mer traditionella sårbarheter är att den går till botten med hur moderna processorer fungerar. För att undersöka ordentligt måste forskarlag ha en grundlig förståelse av CPU-interna komponenter (branch-prediktion, out-of-order exekvering, spekulativ exekvering, pipeline och cachar), OS-interna komponenter (systemanrop, avbrotts- och undantagshantering och KPTI) och sidokanaler och spekulativa exekveringsattacker i allmänhet
Opatchade Windows-system som körs på 64-bitars Intel-hårdvara är mottagliga för att läcka känsligt kärnminne, däribland från användarläge. SWAPGS-attacken kringgår alla kända begränsningstekniker som implementerats mot tidigare sidokanalattacker på sårbarheter i spekulativ exekvering.
Att åtgärda dessa sårbarheter är extremt utmanande. Eftersom de ligger djupt i strukturen och driften av moderna processorer, innebär att helt ta bort sårbarheterna antingen att byta ut hårdvara eller inaktivera funktionalitet som avsevärt förbättrar prestandan. Likaså är det mycket komplext att skapa begränsningsmekanismer och det kan hämma prestandavinster som uppnås genom spekulativa exekveringsfunktioner. Att till exempel helt eliminera möjligheten för sidokanalattacker mot den spekulativa exekveringsfunktionen hos Intel-processorer skulle kräva en fullständig inaktivering av hyperthreading, vilket allvarligt skulle försämra prestandan.
Sedan publiceringen av Meltdown and Spectre har forskare granskat den spekulativa exekveringsfunktionen hos moderna processorer, särskilt sidokanalsattacker som riktar sig mot den prestandafokuserade funktionen hos moderna processorer.
Bitdefender-forskare har arbetat med Intel i mer än ett år innan den här nya attacken offentliggjordes. Bitdefender har också arbetat nära Microsoft, som utvecklat och publicerat en patch. Andra leverantörer i ekosystemet har också varit inblandade.
Bitdefender har publicerat en djupgående vitbok, inklusive en detaljerad tidslinje för avslöjande, som beskriver forskningen bakom attacken. Bitdefender har också publicerat blogginlägg som förklarar attacken och video som visar den.
"Medan det starkt rekommenderas att distribuera patchen från Microsoft, tillhandahåller Bitdefender Hypervisor Introspection en kompenserande kontroll som förhindrar attack."
Bitdefender har visat hur Hypervisor Introspection stoppar attacken genom att ta bort villkor som den behöver för att lyckas på opatchade Windows-system. Den här begränsningen har inte medfört någon märkbar prestandaförsämring. Även om det starkt rekommenderas att distribuera patchen från Microsoft, ger Hypervisor Introspection en effektiv kompenserande kontroll tills system kan patchas.
Hypervisor Introspection analyserar minnet hos gäst-VM och identifierar objekt av intresse. Bitdefender mildrade denna sårbarhet, före lanseringen av tillämplig patch, genom att instrumentera varje sårbar SWAPGS-instruktion för att säkerställa att den inte körs spekulativt, vilket förhindrar kärnminnesläckor.
Trots sina bästa ansträngningar kämpar många organisationer med att distribuera patchar på en idealisk tidslinje. Hypervisor Introspection hjälper dem att överbrygga gapet mellan release och distribution av patchar för allvarliga säkerhetsbrister.
Hypervisor Introspection är unik för Bitdefender. Idag stöds den med Citrix Hypervisor, Xen och KVM som en teknikförhandsvisning.
Hypervisor Introspection utnyttjar inneboende fördelar från hypervisorernas position i förhållande till underliggande hårdvara och virtualiserade operativsystem, inklusive Windows, Linux och virtuella datorer och servrar. I realtid inspekterar Hypervisor Introspection råminnet för att köra virtuella maskiner. Den letar efter tecken på minnesbaserade attacktekniker som konsekvent används för att utnyttja sårbarheter, både kända och okända.
Hypervisor Introspection är en kraftfull säkerhetsstrategi som är unik för Bitdefender. Bitdefenders forskning och utveckling arbetade med Xen Project för att utöka Virtual Machine Introspection (VMI) inom Xen Hypervisor. Citrix har antagit funktionaliteten i Citrix Hypervisor som Direct Inspect API:er. Bitdefender fortsätter också att arbeta med KVM och andra communitys med öppen källkod, förutom ytterligare forskning och utveckling för icke-virtualiserade scenarier såsom inbyggda system.
Ett annat högprofilerat exempel på Hypervisor Introspections möjligheter kom före lanseringen av EternalBlue, som senare användes i vågen av WannaCry-ransomware. Utan kunskap om den specifika cyberattacken eller den underliggande sårbarheten blockerade Hypervisor Introspection attacken, eftersom den utnyttjar en buffertöverflödesteknik.
Även om det inte är nytt att utnyttja buffertöverflöde för att utnyttja sårbarheter, visade WannaCry-angriparnas snabba användning av EternalBlue återigen att organisationer ofta inte kan distribuera kritiska patchar i tid för att förhindra cyberattacker. Oavsett om man överväger beprövade attacktekniker som buffertöverflöde, heapspray och kodinjektion, eller mycket sofistikerade attacker som utnyttjar sårbarheter i de djupaste nivåerna av hårdvarufunktionalitet, är det uppenbart att organisationer måste väva in en ny säkerhetsstrategi, som Hypervisor Introspection, i sin säkerhetsstruktur.
Hypervisor Introspection visar hur leverantörer av säkerhet, hårdvara, virtualisering och operativsystem kan samarbeta för att producera kraftfulla nya säkerhetsmetoder som hejdar vågen av mycket sofistikerade attacker.
SWAPGS-attacken utnyttjar, via en sidokanalsattack, ett fel i den spekulativa exekveringsregimen för moderna Intel-processorer. Denna attack kringgår avhjälpningsmekanismer som har införts för att motverka tidigare attacker. Eftersom attacken utnyttjar SWAPGS-instruktionen när den används spekulativt, rekommenderas starkt att använda patchar för operativsystem som kan använda SWAPGS spekulativt. Med tanke på omfattningen av forskning som utförts av Bitdefender-teamet som upptäckte SWAPGS-attacken, är kända och sårbara system begränsade till de som är värd för Windows-operativsystemet på moderna Intel-processorer som kan köra spekulativ exekvering. Tills patchar kan tillämpas, rekommenderas starkt att flytta arbetsbelastningar som körs inom sårbara operativsystem till värdar som kör Bitdefender Hypervisor Introspection via Citrix Hypervisor eller Xen.
I maj 2019 sammanfattade ett Bitdefender-blogginlägg forskning om en annan sidokanalsattackmekanism baserad på spekulativ avrättning. Vid den tidpunkten, som beskrivs i tidslinjen för avslöjande i vitboken, kom vi överens om att hålla tillbaka publiceringen av det djupgående forskningsdokumentet om de spekulativa utförande sidokanalsmekanismerna som upptäckts. Vitboken, med titeln "Säkerhetsimplikationer av spekulativt exekverande av segmenteringsrelaterade instruktioner på Intel-processorer", är skriven gemensamt av samma två forskare som SWAPGS-attackvitboken, och finns tillgänglig här .
S. Känslig information kan vara vad som helst som kan göra det möjligt för angriparen att vidareutveckla en attack. Till exempel pekare eller adresser som kan tillåta en angripare att ytterligare utföra en behörighetseskalering. En angripare kan också filtrera ut andra delar av känslig information, såsom lösenord, krypteringsnycklar, tokens eller åtkomstuppgifter, som kan finnas i kärnminnet.
S. Om informationen som stulits från början tillåter cyberbrottslingen att vidareutveckla en attack (till exempel en behörighetseskalering), ja, det är möjligt.
S. Alla Intel-processorer som stöder SWAPGS- och WRGSBASE-instruktioner påverkas. Det betyder i princip allt från Intel Ivy Bridge (introducerad 2012) till den senaste processorserien på marknaden.
S. Alla enheter som kör en Intel Ivy Bridge eller nyare CPU: stationära datorer, bärbara datorer, servrar, mm. Både hem- och företagsanvändare påverkas av den här sårbarheten.
S. Vi förväntar oss att Apple-enheter INTE är sårbara, men vi måste vänta på deras officiella ställning när allt har släppts.