Az Intel háza táján az elmúlt két évben igen sokféle sebezhetőségre derült fény, amelyek rengeteg terméket érintenek, ám a gyártó és partnerei elkövettek mindent annak érdekében, hogy ezek többségét mielőbb javítsák, illetve azoknál, amelyeknél lehetetlen teljes értékű javítást készíteni, a támadási felület csökkentésével orvosolják a helyzetet.

Előzmények

Az MDS csokorról idén májusban érkezett hír, ebben összesen négyféle sérülékenység foglalt helyet, amelyek közül az egyik a ZombieLoad nevet viselte. Ezek a sebezhetőségek a mikroarchitektúra adatstruktúrájában lapultak: az egyik a store buffereket, a másik a load buffereket, a harmadik a line fill buffereket, míg a negyedik a nem gyorsítótárazható memóriát veszélyezette. Ezek közül a harmadik, vagyis a line fill bufferekben lévő sebezhetőség kapta a ZombieLoad nevet, amit RIDL névvel is szokás emlegetni.

A vállalat viszonylag hamar készített frissítéseket ehhez a sérülékenység-gyűjteményhez, ám a jelek szerint akkoriban, vagyis még április folyamán nem is négy, hanem igazából öt sebezhetőségről tájékoztatták az Intel illetékeseit a hibákat felfedező biztonságtechnikai kutatók. Hogy az ötödik sebezhetőség publikálásával kapcsolatban miért kellett ennyit várni? Pusztán azért, hogy az Intelnél javítást készíthessenek hozzá, és ezt a lehető leghamarabb el is juttathassák az érintett rendszerekhez. Mint az a Cascade Lake rajtnál kiderült, az új processzorok már több sebezhetőséggel szemben kaptak hardveres védelmet, így egyebek mellett a ZombieLoad-ra is immunisak, viszont a ZombieLoad v2 esetében sajnos már nem igaz ez a kijelentés.

Támad a ZombieLoad v2

Hogy mégis mi az a ZombieLoad v2? Egy CVE-2019-11135-ös besorolású sebezhetőség, amely az Intel TSX (Transactional Synchronisation Extensions) kiterjesztésében, azon belül is az Asynchonous Abort műveletben rejlik. Kiaknázásához a támadónak olyan kártékony kódot kell készítenie, amellyel konfliktust okozhat a processzoron belül zajló olvasási műveletek között, így olyan memóriaterületekhez is hozzá tud férni, amelyekhez nem szabadna.

Az Intel szerint a ZombieLoad v2 sérülékenységgel szemben hamarosan megjelennek a mikrokód-frissítések, ám szerintük nem olyan veszélyes a hiba, mint ahogy azt elsőre gondolhatnánk. A támadó ugyanis képes lehet kártékony kód lefuttatására, ám azt már nem tudja kontrollálni, pontosan milyen adatokat vegyen célba a kód, így az is véletlenszerű, hogy pontosan milyen adatokat tud kinyerni. Éppen ezért az MDS támadások nem túl hatékonyak, így nem is igazán érdemes ezekre alapozniuk a támadóknak, hiszen elég komplex feladat a kiaknázásuk, a végeredmény pedig bizonytalan. Viszont ennek ellenére sem szabad félvállról venni a veszélyt.

Azok a felhasználók, akik nem szeretnének foglalkozni a frissítéssel és az esetleges lassulást is szeretnék elkerülni, az Intel szerint ki is kapcsolhatják a processzor TSX támogatását, amennyiben az amúgy sincs használatban. Ehhez az Intel is szoftveres segítséget nyújt majd, vagyis aki el szeretné végezni a TSX kikapcsolását, megteheti – már amennyiben a TSX egyáltalán aktív az adott rendszeren.

Érdekesség egyébként, hogy a biztonságtechnikai kutatók szerint a korábbi négy MDS sebezhetőségre készített javítás nem is nyújt megfelelő védelmet. Az Intel anno a VERW utasításkészlet segítségével gondoskodott az alkalmazások MDS elleni védelméről, vagyis arról, hogy a processzor által éppen feldolgozott adatokhoz ne férjenek hozzá illetéktelenek. Ez az utasításkészlet a szakemberek szerint nem teljes és könnyen megkerülhető. Az Intel ezt elismerte, majd hozzátette: az utasításkészlet használatával a támadási felületet szerették volna csökkenteni, azaz szerették volna megnehezíteni a támadók dolgát, így azzal is tisztában vannak, hogy ez nem egy teljes értékű javítás.

A biztonságtechnikai kutatók jelenleg azon a véleményen vannak, hogy az MDS hibák elleni megnyugtató védelem csak úgy érhető el, ha a Hyper-Threading technológiát kikapcsolják az érintett rendszereken. És a TSX támogatás esetében is a kikapcsolás lehet a legjobb megoldás. Ezek persze teljesítményvesztést eredményeznek, amelynek mértéke az adott feladattól és konfigurációtól függ. A TSX kikapcsolásához a Microsoft már ki is adott egy útmutatót. A két technológia kikapcsolását persze nem is igazán az átlagfelhasználói, hanem a virtuális gépeket kezelő üzleti konfigurációk esetében ajánlják, például a felhő- és egyéb szolgáltatásokat kínáló szerverparkoknál. Az Intel az aktuális hibákra további mikrokód-frissítésekkel válaszol.

Van még más is...

A fentiekkel együtt novemberben folyamán egyébként összesen 77 sérülékenységet és biztonsági rést foltoz be a gyártó, amelyek közül 67-et belsős vizsgálatok alkalmával fedeztek fel, ezek között viszont kritikus besorolású, a CVSS veszélyességi besorolása szerint 10-ből 9,6 pontra értékelt sérülékenység is van.

Ezeket a sérülékenységeket a rendszergyártók, az operációs rendszerek fejlesztői, illetve az Intel és partnerei javítják, így például friss driverek is érkeznek majd az elkövetkező időszakban, amelyeket feltétlenül érdemes lesz telepíteni. Ahogy a fentiekből is látszik, elég sok a közepesnél súlyosabb besorolású hiba, azaz érdemes komolyan venni a frissítések alkalmazását.