آسیب‌پذیری Foreshadow ‌چیست و چگونه بر امنیت کاربران تاثیر می‌گذارد

آسیب‌پذیری‌های امنیتی Spectre و Meltdown همچنان اینتل و AMD و دیگر تولیدکنندگان ریزپردازنده را دنبال می‌کند. بعد از افشای اولیه‌ی این باگ و انتشار بسته‌های به‌روزرسانی مشکل‌دار، اینتل امیدوار بود که ریشه‌ی این مشکلات عمیق خاموش باقی بماند. باوجوداین، این‌گونه نشد و مصرف‌کنندگان و تجار و سازنده‌های پردازنده‌ها با آسیب‌پذیری دیگری مواجه هستند. پیش‌بینی (Foreshadow) نام این آسیب‌پذیری است که درادامه آن را بررسی می‌کنیم.

Foreshadow که به‌نام «نقص پایانه‌ی سطح یک (L1FT)» نیز شناخته می‌شود، آخرین رخنه‌ی امنیتی است که بر پردازنده‌های اینتل تأثیر گذاشته است. باگ پیش‌بینی (Foreshadow) درکنار باگ‌های Spectre (شبح) و سقوط (Meltdown) تعداد آسیب‌پذیری‌های اینتل را به عدد سه رساند.

این رخنه‌ی امنیتی از سه بخش تشکیل شده است: اولینِ آن ویژگی افزونه‌های حفاظت امنیتی اینتل (Security Guard Extensions (SGX را هدف قرار می‌دهد. این ویژگی در نسل هفتم پردازنده‌های اینتل معرفی شد که برای حفاظت از کد از تغییرات غیرمجاز طراحی شده است. دو بخش دیگر تقریباً بر تمام نسل‌های CPUهای اینتل تأثیر می‌گذارد.

رخنه‌ی پیش‌بینی نتیجه‌ی تحقیقات امنیتی گروهی دو گروه مستقل است:

• ۱. گروه آی‌ام‌ایی‌سی دیسترینت (Imec-DistriNet) از دانشگاه لوان بلژیک.
• ۲. گروهی مشترک از دانشگاه‌های میشیگان و آدلاید و گروه داده‌کاوی سی‌اس‌آی‌آراُ دیتا ۶۱ (CSIRO Data61).

این حمله از شش ماه پیش از تکنیک‌هایی استفاده می‌کند که به حملات Meltdown بسیار شبیه است. بااین‌حال، متوجه شدیم به‌طور ویژه بخش قفل‌شده در پردازنده‌های اینتل را می‌توانیم هدف قرار دهیم. این کار اجازه می‌دهد اطلاعات دلخواهتان را از این مناطق امن و پنهان خارج کنید.

مسئله‌ی اصلی روشن است؛ رخنه‌ی پیش‌بینی اجازه‌ی دسترسی به اطلاعات محرمانه‌ی ذخیره‌شده در حافظه‌ی رایانه را می‌دهد. دستورالعمل‌های فنی اینتل بیان می‌کند که حوزه‌هایی از حافظه را می‌توان با علامت اجازه‌نداشتن برای دسترسی علامت‌گذاری کرد؛ اما نقطه‌ی مقابل درست است. ماشین اجراکننده‌ی کد مخرب یا ماشین مجازی مهمان روی سرور اَبری، ممکن است به قسمت‌هایی از حافظه دسترسی داشته باشد که نباید به آن دسترسی داشته باشد و درنتیجه، شاید داده‌های حساس را افشا کند.

در مطلبی در وبگاه اینتل چنین آمده است:

گزارشی درباره‌ی چگونگی استفاده از این روش‌ها در دنیای واقعی دریافت نکردیم؛ اما این امر بیشتر بر نیاز همه به رعایت بهترین اقدام‌های امنیتی تأکید دارد.

این وبگاه درادامه توضیح می‌دهد که چگونه پردازنده‌های آینده از همان آسیب‌پذیری رنج نمی‌برند.

در Foreshadow سه آسیب‌پذیری مجزا وجود دارد که هرکدام کد CVE مخصوص خود را دارد:

۱. CVE-2018-3615: آسیب‌پذیری افزونه‌های حفاظت امنیتی (SGX) که باعث می‌شود سیستم اجازه‌ی افشای اطلاعات مقیم در حافظه‌ی پنهان سطح یک را داشته باشد؛

۲. CVE-2018-3620: بر سیستم‌عامل‌ها و حالت مدیریت سیستم (SMM) و سیستم‌هایی تأثیر می‌گذارد که از حالت اجرای پیش‌بینی‌پذیر استفاده می‌کند و ترجمه‌ی آدرس‌ها ممکن است باعث دسترسی غیرمجاز به افشای اطلاعات مقیم در حافظه‌ی پنهان سطح یک شود؛

۳. CVE-2018-3646: بر ماشین‌های مجازی اثر می‌گذارد. این آسیب‌پذیری ممکن است با اجازه‌ی دسترسی محلی با مجوز کاربر، اجازه‌ی افشای اطلاعات مقیم در حافظه‌ی پنهان سطح یک را به هکر مهمان بدهد.

صفحه‌ی توضیحات CVE اینتل همچنین فهرست کاملی از سیستم‌عامل‌های مبتنی بر اینتل را معرفی می‌کند که از آسیب‌پذیری‌های Foreshadow اثر می‌پذیرد. این فهرست را براساس مدل CPU خود بررسی کنید.

نخست باید اشاره کنیم که تا وقتی سیستم خود را کاملاً به‌روز نگه دارید، در امان هستید. گروه‌های تحقیقاتی که به‌طور جداگانه Foreshadow را کشف کردند، جزئیات آسیب‌پذیری را در ماه ژانویه به اینتل اعلام کردند. بدین‌ترتیب، اینتل برای توسعه و انتشار وصله‌ی امنیتی زمانی طولانی داشته است.

علاوه‌براین، محققان و اینتل بر این نکته تأکید می‌کنند که این حملات به‌ندرت اتفاق می‌افتد. دلیل این امر آن است که مهارت و هزینه‌ی لازم برای انجام این حمله انجامش را دشوار می‌کند؛ ازاین‌رو، استفاده از حملات بدافزار و روش‌های فیشینگ (Phishing) بسیار آسان‌تر است.

گفتنی است اغلب کاربران ویژگی SGX اینتل را به‌کار نمی‌گیرند؛ بنابراین، داده‌های حساس خود را در آنجا ذخیره نمی‌کنند. همچنین، Foreshadow اثری را در فایل‌های لاگ (Log) معمولی رها نمی‌کند. بنابراین، با نگاه به این فایل‌ها اثری از حمله‌ی امنیتی نمی‌توانید پیدا کنید. هرچند هکری که مهارت کافی برای چنین حمله‌ای داشته باشد، اثری در فایل‌های لاگ نخواهد گذاشت.

ممکن است از ماشین مجازی (VM) در رایانه‌ برای داشتن کپی از سیستم‌عامل دیگر استفاده کنید. VMها برای آزمایش توزیع‌های جدید لینوکس یا راه‌اندازی نسخه‌ی قدیمی ویندوز برای استفاده از برنامه‌ی خاص مفید است.

ماشین‌های مجازی به‌وفور در محیط‌های سرویس‌دهنده‌ی اَبری مانند آژور (Azure) یا Amazon AWS استفاده می‌شود. اجرای همزمان ماشین‌های مجازی اجازه می‌دهد با استفاده از یک سخت‌افزار سرویس‌های بیشتری استفاده شود.

این موضوع بسیار مهم است که ماشین‌های مجازی در سرویس‌دهنده‌های اَبری از یکدیگر مجزا باشد. این دقیقا کاری است که Foreshadow انجام می‌دهد؛ یعنی ازطریق جداسازی‌های اشاره‌شده عمل می‌کند و به ماشین مجازی اجازه می‌دهد تا داده‌ها را از روی ماشین‌های مجازی دیگر بخواند.

اینتل و AMD و دیگر تولیدکنندگان ریزپردازنده متأثر از Spectre و Meltdown و نیز Foreshadow دوره‌ی بسیار سختی را می‌گذرانند. توسعه‌ی پردازنده‌ها برای دهه‌ها است که با استفاده از ویژگی اجرای پیش‌بینی‌شده (Speculative Execution) سیستم را سریع‌تر می‌کند. بااین‌حال، مشکل کنونی این است که اجرای پیش‌بینی‌شده آسیب‌پذیر است؛ به‌همین‌دلیل تولیدکننده‌های پردازنده‌ها به خانه‌ی اول برمی‌گردند تا مطمئن شوند پردازنده‌های آینده مشکلات مشابه را نداشته باشند.

شایان ذکر است تنها مسئله‌ی نجات‌دهنده این است که بیشتر اوقات طعمه‌ی کوچکی برای هکرها هستیم. بدین‌ترتیب، هوشیاری دربرابر بدافزار و حملات فیشینگ و کلاه‌برداری‌های بانکی و دیگر حملات متداول شما را ایمن نگه می‌دارد. فقط به‌یاد داشته باشید که سیستم خود را به‌روز  نگه دارید و به‌روزرسانی‌های پردازنده را به‌محض انتشار نصب کنید.