آسیبپذیری Foreshadow چیست و چگونه بر امنیت کاربران تاثیر میگذارد
آسیبپذیریهای امنیتی Spectre و Meltdown همچنان اینتل و AMD و دیگر تولیدکنندگان ریزپردازنده را دنبال میکند. بعد از افشای اولیهی این باگ و انتشار بستههای بهروزرسانی مشکلدار، اینتل امیدوار بود که ریشهی این مشکلات عمیق خاموش باقی بماند. باوجوداین، اینگونه نشد و مصرفکنندگان و تجار و سازندههای پردازندهها با آسیبپذیری دیگری مواجه هستند. پیشبینی (Foreshadow) نام این آسیبپذیری است که درادامه آن را بررسی میکنیم.
آسیبپذیری Foreshadow چیست؟
Foreshadow که بهنام «نقص پایانهی سطح یک (L1FT)» نیز شناخته میشود، آخرین رخنهی امنیتی است که بر پردازندههای اینتل تأثیر گذاشته است. باگ پیشبینی (Foreshadow) درکنار باگهای Spectre (شبح) و سقوط (Meltdown) تعداد آسیبپذیریهای اینتل را به عدد سه رساند.
این رخنهی امنیتی از سه بخش تشکیل شده است: اولینِ آن ویژگی افزونههای حفاظت امنیتی اینتل (Security Guard Extensions (SGX را هدف قرار میدهد. این ویژگی در نسل هفتم پردازندههای اینتل معرفی شد که برای حفاظت از کد از تغییرات غیرمجاز طراحی شده است. دو بخش دیگر تقریباً بر تمام نسلهای CPUهای اینتل تأثیر میگذارد.
رخنهی پیشبینی نتیجهی تحقیقات امنیتی گروهی دو گروه مستقل است:
- ۱. گروه آیاماییسی دیسترینت (Imec-DistriNet) از دانشگاه لوان بلژیک.
- ۲. گروهی مشترک از دانشگاههای میشیگان و آدلاید و گروه دادهکاوی سیاسآیآراُ دیتا ۶۱ (CSIRO Data61).
این آسیبپذیری اجازه میدهد اطلاعات دلخواهتان را از بخش محدودشدهی پردازندههای اینتل خارج کنید
پروفسور توماس وینیچ از دانشگاه میشیگان توضیح میدهد:
این حمله از شش ماه پیش از تکنیکهایی استفاده میکند که به حملات Meltdown بسیار شبیه است. بااینحال، متوجه شدیم بهطور ویژه بخش قفلشده در پردازندههای اینتل را میتوانیم هدف قرار دهیم. این کار اجازه میدهد اطلاعات دلخواهتان را از این مناطق امن و پنهان خارج کنید.
مسئلهی اصلی روشن است؛ رخنهی پیشبینی اجازهی دسترسی به اطلاعات محرمانهی ذخیرهشده در حافظهی رایانه را میدهد. دستورالعملهای فنی اینتل بیان میکند که حوزههایی از حافظه را میتوان با علامت اجازهنداشتن برای دسترسی علامتگذاری کرد؛ اما نقطهی مقابل درست است. ماشین اجراکنندهی کد مخرب یا ماشین مجازی مهمان روی سرور اَبری، ممکن است به قسمتهایی از حافظه دسترسی داشته باشد که نباید به آن دسترسی داشته باشد و درنتیجه، شاید دادههای حساس را افشا کند.
در مطلبی در وبگاه اینتل چنین آمده است:
گزارشی دربارهی چگونگی استفاده از این روشها در دنیای واقعی دریافت نکردیم؛ اما این امر بیشتر بر نیاز همه به رعایت بهترین اقدامهای امنیتی تأکید دارد.
این وبگاه درادامه توضیح میدهد که چگونه پردازندههای آینده از همان آسیبپذیری رنج نمیبرند.
سهجنبهی آسیبپذیری Foreshadow
در Foreshadow سه آسیبپذیری مجزا وجود دارد که هرکدام کد CVE مخصوص خود را دارد:
۱. CVE-2018-3615: آسیبپذیری افزونههای حفاظت امنیتی (SGX) که باعث میشود سیستم اجازهی افشای اطلاعات مقیم در حافظهی پنهان سطح یک را داشته باشد؛
۲. CVE-2018-3620: بر سیستمعاملها و حالت مدیریت سیستم (SMM) و سیستمهایی تأثیر میگذارد که از حالت اجرای پیشبینیپذیر استفاده میکند و ترجمهی آدرسها ممکن است باعث دسترسی غیرمجاز به افشای اطلاعات مقیم در حافظهی پنهان سطح یک شود؛
۳. CVE-2018-3646: بر ماشینهای مجازی اثر میگذارد. این آسیبپذیری ممکن است با اجازهی دسترسی محلی با مجوز کاربر، اجازهی افشای اطلاعات مقیم در حافظهی پنهان سطح یک را به هکر مهمان بدهد.
صفحهی توضیحات CVE اینتل همچنین فهرست کاملی از سیستمعاملهای مبتنی بر اینتل را معرفی میکند که از آسیبپذیریهای Foreshadow اثر میپذیرد. این فهرست را براساس مدل CPU خود بررسی کنید.
رایانهی من دربرابر Foreshadow آسیبپذیر است؟
نخست باید اشاره کنیم که تا وقتی سیستم خود را کاملاً بهروز نگه دارید، در امان هستید. گروههای تحقیقاتی که بهطور جداگانه Foreshadow را کشف کردند، جزئیات آسیبپذیری را در ماه ژانویه به اینتل اعلام کردند. بدینترتیب، اینتل برای توسعه و انتشار وصلهی امنیتی زمانی طولانی داشته است.
علاوهبراین، محققان و اینتل بر این نکته تأکید میکنند که این حملات بهندرت اتفاق میافتد. دلیل این امر آن است که مهارت و هزینهی لازم برای انجام این حمله انجامش را دشوار میکند؛ ازاینرو، استفاده از حملات بدافزار و روشهای فیشینگ (Phishing) بسیار آسانتر است.
اینتل با فروشندگان سیستم و سازندگان تجهیزات و دیگر شرکتهای توسعهی سیستمها برای طراحی وصلهی امنیتی همکاری کرده است. این امر به حفاظت از سیستمها دربرابر این روشها میتواند کمک کند
اینتل با فروشندگان سیستم و سازندگان تجهیزات و دیگر شرکتهای توسعهی سیستمها برای طراحی وصلهی امنیتی همکاری کرده است. این امر به حفاظت از سیستمها دربرابر این روشها میتواند کمک کند.
گفتنی است اغلب کاربران ویژگی SGX اینتل را بهکار نمیگیرند؛ بنابراین، دادههای حساس خود را در آنجا ذخیره نمیکنند. همچنین، Foreshadow اثری را در فایلهای لاگ (Log) معمولی رها نمیکند. بنابراین، با نگاه به این فایلها اثری از حملهی امنیتی نمیتوانید پیدا کنید. هرچند هکری که مهارت کافی برای چنین حملهای داشته باشد، اثری در فایلهای لاگ نخواهد گذاشت.
چگونه Foreshadow بر ماشینهای مجازی تأثیر میگذارد؟
ممکن است از ماشین مجازی (VM) در رایانه برای داشتن کپی از سیستمعامل دیگر استفاده کنید. VMها برای آزمایش توزیعهای جدید لینوکس یا راهاندازی نسخهی قدیمی ویندوز برای استفاده از برنامهی خاص مفید است.
ماشینهای مجازی بهوفور در محیطهای سرویسدهندهی اَبری مانند آژور (Azure) یا Amazon AWS استفاده میشود. اجرای همزمان ماشینهای مجازی اجازه میدهد با استفاده از یک سختافزار سرویسهای بیشتری استفاده شود.
این موضوع بسیار مهم است که ماشینهای مجازی در سرویسدهندههای اَبری از یکدیگر مجزا باشد. این دقیقا کاری است که Foreshadow انجام میدهد؛ یعنی ازطریق جداسازیهای اشارهشده عمل میکند و به ماشین مجازی اجازه میدهد تا دادهها را از روی ماشینهای مجازی دیگر بخواند.
آیا داستان رخنههای امنیتی اینتل پایان مییابد؟
اینتل و AMD و دیگر تولیدکنندگان ریزپردازنده متأثر از Spectre و Meltdown و نیز Foreshadow دورهی بسیار سختی را میگذرانند. توسعهی پردازندهها برای دههها است که با استفاده از ویژگی اجرای پیشبینیشده (Speculative Execution) سیستم را سریعتر میکند. بااینحال، مشکل کنونی این است که اجرای پیشبینیشده آسیبپذیر است؛ بههمیندلیل تولیدکنندههای پردازندهها به خانهی اول برمیگردند تا مطمئن شوند پردازندههای آینده مشکلات مشابه را نداشته باشند.
شایان ذکر است تنها مسئلهی نجاتدهنده این است که بیشتر اوقات طعمهی کوچکی برای هکرها هستیم. بدینترتیب، هوشیاری دربرابر بدافزار و حملات فیشینگ و کلاهبرداریهای بانکی و دیگر حملات متداول شما را ایمن نگه میدارد. فقط بهیاد داشته باشید که سیستم خود را بهروز نگه دارید و بهروزرسانیهای پردازنده را بهمحض انتشار نصب کنید.
نظرات