Il team di esperti Bitdefender ha individuato nuove vulnerabilità hardware delle piattaforme Intel; i cyber-criminali potrebbero manipolare ed esfiltrare i dati.
Questa vulnerabilità può portare alla fuga di informazioni in determinati scenari, in quanto consente all’aggressore di iniettare valori anomali in determinate strutture di micro-architettura che vengono poi utilizzati dalla vittima, che potrebbe portare ad una fuoriuscita di informazioni riservate.
Questo tipo di attacco è particolarmente impattante negli ambienti multi-tenant, come workstation aziendali o server dei data center, dove un utente con meno privilegi potrebbe far trapelare informazioni sensibili provenienti da un utente con più privilegi o da un differente ambiente virtualizzato bypassando l’hypervisor.
Il rischio più ovvio è il furto di dati, poiché un aggressore con meno privilegi può campionare informazioni che dovrebbero essere tenute private dalle misure di sicurezza a livello di chip o di microcodice. Queste informazioni possono essere di qualsiasi tipo, dai dati relativi alle interferenze nel sistema operativo alle chiavi di crittografia o alle password in memoria. Nel peggiore dei casi un aggressore potrebbe godere di un controllo significativo del server (o dell’endpoint) vulnerabile e dei dati memorizzati su di esso.
Si stima che Intel alimenti il 90% dei server in produzione fino ad oggi.
Le misure correttive esistenti per Meltdown, Spectre e MDS non sono sufficienti.
Per rimuovere completamente la nuova vulnerabilità si devono disabilitare le funzionalità che forniscono elevate prestazioni, come l’Hyper-threading, o sostituire l’hardware.
Inoltre, occorre assicurarsi di aver applicato le ultime patch di microcodice della CPU e di aver aggiornato il sistema operativo.
Allo stesso modo, la creazione di meccanismi di mitigazione può essere molto complessa e compromettere le prestazioni.
Di seguito le 3 azioni più urgenti che devono essere intraprese dal reparto IT di qualsiasi azienda che utilizza questi processori:
- Installare le patch (microcodice, sistema operativo, hypervisor) non appena sono disponibili.
- Installare una soluzione di sicurezza che fornisca visibilità e contesto a livello di hypervisor.
- Verificare i sistemi critici per identificare eventuali segni di intrusione, se possibile.
Bitdefender ha avvertito Intel di questo attacco il 10 febbraio prima della divulgazione pubblica, anche se non è stato il primo a segnalarlo. Il 25 febbraio, Intel ha riconosciuto questa vulnerabilità.
Le ricerche di Bitdefender sono accreditate da un sintetico Proof of Concept.
Bitdefender desidera ringraziare per la loro collaborazione i ricercatori che per primi hanno segnalato questo problema a Intel : Jo Van Bulck, Daniel Moghimi, Michael Schwarz, Moritz Lipp, Marina Minkin, Daniel Genkin, Yuval Yarom, Berk Sunar, Daniel Gruss, and Frank Piessens.
Intel
I ricercatori hanno identificato un nuovo sistema denominato Load Value Injection (LVI). Per via dei numerosi e complessi requisiti che devono essere soddisfatti per poterlo attuare con successo, Intel non crede che questo sia un metodo pratico nelle situazioni reali in cui ci affidiamo a OS e VMM. Nuove linee guida e strumenti per la mitigazione di LVI sono ora disponibili e funzionano congiuntamente alle mitigazioni già rilasciate per ridurre sostanzialmente la superficie complessiva dell’attacco. Ringraziamo i ricercatori che hanno lavorato con noi e i nostri partner del settore per il loro contributo nella divulgazione coordinata di queste informazioni.
