Nová bezpečnostní díra v procesorech Intel. CacheOut potřebuje update mikrokódu

Byla oznámena další bezpečnostní díra v procesorech Intel. Nachází se v čipech od Skylake po Coffee Lake či Cascade Lake a umožňuje krádež citlivých dat.

32

Jen před dvěma týdny jsme měli tu radost psát další příspěvek do ságy bezpečnostních děr v procesorech, když byly oznámeny zranitelnosti v integrovaných GPU od Ivy Bridge po Comet Lake. Bohužel to neznamenalo, že bude zase na chvíli klid. Tento týden byla publikována další zranitelnost v procesorech Intel, která navíc přinese zase potřebu aktualizovat mikrokód CPU, nebude tedy zřejmě opravitelná jen relativně snadnými aktualizacemi operačního systému.

 

Další netěsnost v spekulativním vykonávání kódu

Tato chyba dostala jméno CacheOut (CVE-2020-0549) nebo také „L1D Eviction Sampling Leakage“ či „L1Des Leakage“. Podle výzkumníků, kteří tento útok publikovali, umožňuje útočníkům získat chráněná data přes rovnou několik různých úrovní bariér, které by měly bránit v neautorizovaném „šmírování“ náhodných procesů v datech jiných. Škodlivý proces používající zranitelnost CacheOut dokáže vytáhnout z cache procesoru data patřící jádru operačního systému (do kterých nemá mít uživatelský program přístup), ale také z paměti úplně jiného hostovaného počítače při virtualizaci, a také ze zabezpečených enkláv SGX, které by měly být neproniknutelné pro vše kromě speciálně autorizovaného softwaru. Zranitelnost tedy umožňuje kompromitování bezpečnostních funkcí založených na integritě SGX. Podrobné pojednání je zde.

Toto podle autorů dokazuje, že procesory Intel jsou přes různé zatím implementované ochrany stále zranitelné na různá zneužití spekulativního vykonávání kódu uvnitř jádra. Útok je podobný zranitelnostem MDS, ale ochrany proti nim nestačí k jeho zamezení. Zatímco Intel se pokusil zablokovat zranitelnosti MDS tím, že mikrokód různé netěsné buffery přepisuje při změně procesu například mezi uživatelským prostorem a jádrem, výzkumníci našli slabiny v těchto mechanismech, které se k těmto informacím dovolují dostat během jejich odstraňování z datové L1 cache.

Fungovani utoku CacheOut
CacheOut používá funkci TSX Asynchronous Abort, která již jednou byla zneužita (útok TAA publikovaný v listopadu)

Riziko této chyby je stejné jako u Spectre – tedy že škodlivý proces může z paměti vašeho PC vytáhnout něco citlivého – například šifrovací klíč nebo přihlašovací údaje. Zatím se nezdá, že by tento útok byl používán v praxi malwarem (nezanechal by po sobě ovšem stopy, pokud by se přece jen stal). Ale takovéto slabiny fundamentálně narušují principy, na které stojí bezpečnost softwaru, takže je třeba podobné díry zalátávat.

Bez TSX je patrně bezpečno, AMD postiženo není

Chyba je spojena s funkcí rozšíření TSX na procesorech Intel (zřejmě tak je příbuzná s také Intel postihujícím útokem TSX Asynchronous Abort neboli TAA). Procesory AMD tyto instrukce/funkce vůbec nemají, takže výzkumníci uvádějí, že nejsou nijak postižené, na rozdíl od Intelů. Ty zřejmě také jsou zranitelné jen tehdy, pokud TSX mají zapnuté, což některé modely vylučuje. Ovšem podle výzkumníků je teoreticky možné, že by se chybu mohlo podařit najít také v procesorech IBM Power a některých jádrech ARM, které mají funkcionalitu podobnou TSX. Nicméně výskyt asi nikdo zatím nepotvrdil. Mimochodem, závislost na TSX také naštěstí znamená, že chyba zřejmě není zneužitelná z javascriptu běžícího v browseru (tedy útočnými stránkami). Javascriptové enginy v browserech totiž neumožňují TSX použít. Tím pádem je rizikem jen lokálně spuštěný program, takže chyba naštěstí není tak riziková. Intel závažnost označuje jako střední.

Podle dokumentu Intelu (který bohužel není tak jasný, jak bychom rádi) jsou postižené procesory od Skylake výše, mají-li TSX, až po Coffee Lake, Amber Lake a Whiskey Lake. Comet Lake a možná i některé novější revize Core 9. generace „Coffee Lake Refresh“ by mohly být již imunní, jelikož proti útoku náhodou funguje pokus opravit jinou nesouvisející chybu (ovšem pozor na to, že řada Core 9. generace mohou být založená na starších revizích křemíku). Naopak současné Xeony či Core i9 „Cascade Lake“ jsou zranitelné (a stejně tak Skylake-X/Skylake-SP). O 10nm čipech Ice Lake řeče nic není a pravděpodobně jsou v pořádku.

Ochrany pred chybou CacheOut ve vybranych procesorech Intel
Jak jsou na tom vybrané procesory Intel s CacheOutem a jinými chybami. Fajfka znamená funkční ochrany, křížek zranitelnost

Oprava si vyžádá další aktualizaci mikrokódu

Intel tuto díru opraví v rámci mikrokódu CPU. Ta musí být jako obvykle být nahrána do CPU při každém bootu, jelikož update je v CPU ve volatilní paměti. Může to obstarat buď BIOS, nebo operační systém. Bude třeba tedy buď přeflashovat desku (či BIOS notebooku), až výrobce poskytne aktualizaci, v níž bude tento mikrokód zahrnutý, nebo počkat, až se tyto mikrokódy objeví v aktualizačním kanálu vašeho operačního systému. Toto bude třeba, pokud už vaše deska aktualizace BIOSu nedostává. Microsoft naštěstí aktualizace mikrokódu pro Intel distribuuje ve Windows Update, takže to snad pokryje většinu uživatelů, včetně těch, kdo zprávu o této šlamastice ani nezaregistrují.

Pokud je s touto aktualizací mikrokódu spojená nějaká ztráta výkonu, Intel to nikde neuvádí. Zatím to na to nevypadá, tak snad nebude třeba se oprav CacheOutu bát.

Galerie: Bezpečnostní chyby MDS v procesorech Intel: ZombieLoad, Fallout, RIDL

Nová bezpečnostní díra v procesorech Intel. CacheOut potřebuje update mikrokódu
Ohodnoťte tento článek!
4.3 (85.45%) 11 hlas/ů

32 KOMENTÁŘE

  1. Honzo, ty bys mohl dělat Vyvolávače paniky 😀 možná by nebylo na škodu přesně popsat, jak může být napaden počítač běžného uživatele, ne jen že je to někde někdy nějak možné … to aby se bál člověk zapnout comp 😀

  2. Takto vždy P. Olšan píše, když se zastaví v Plzni v garáži na pivo. Samozřejmě i se Součkem, poté vyjdou zdrcující články na téma Intel a Nvidie, a jak se tyto firmy ani nedožijí zítřejších dnů, no a potom to tady podpoří komentáře žumpy z diitu a je vymalováno.

  3. Malý flashback:
    Aznohh 5.3.2018 at 19:21
    „Od začátku tu tvrdím, že nevíme zdaleka všechno. To, že šéf Intelu narychlo prodal svoje akcie něco znamená. Podobných zpráv bude ještě hodně a mám obavu, že mnohem závažnějších. Intel pravděpodobně už před x měsíci věděl, že mu hrozí řada hromadných žalob.“

      • Co přesně má znamenat výraz „prodal je výrazně pod cenou“ ? 🙂 Pod jakou cenou?
        Nemyslím si, že by byl hloupej, naopak pokud byl dostatečně chytrý, tak jistě věděl jak na tom jeho firma je, co se týče 10nm vyhlídek a bezpečnostních děr, nakoupil proto za utržené peníze akcie konkurence a nyní je na pětinásobku. 🙂
        Anebo si tu půlmiliardu v klidu užívá s koktejlem v ruce a směje se všem chudým internetovým anonymům, kteří o něm píšou, že byl hloupý… 😀

        A s těmi žalobami mi nevyšlo přesně co? 🙂 Řekl bych, že můj výrok se naopak do puntíku splnil. 😀 Když i sám Intel potvrdil, že na něj bylo podáno minimálně 30 hromadných žalob…

    • … a o těchto chybách na 100% neměl ani tušení, ani mít nemohl, nevěděl, netušil, jak co funguje … možná v začátcích … a svezl se
      … a s těmi žalobami, to máš odkud? 😀 Jako, zkusit můžou, ale kontraproduktivita to jistí …

  4. „,,,,,několik různých rovní bariér,….“ opravit.
    Řekl bych, že je tam dost dobře popsané, jak může být napaden počítač BFU. Jenže BFU nemá potřebné znalosti, tak tam potřebné informace nevidí.
    Ani nevidím zdrcující články o nepřežití Intel. Samozřejmě z kraje jsem také předpokládal, že se Intel dostane do potíží, ale pokud se stále množí vady týkající se CPU za posledních 10 let, tak se opravdu nedá nic dělat zásadního k jejich opravě, když je to chyba/vlastnost hardwarového návrhu CPU. Jedině vyhodit celý PC/ntb/server. A to nikdo neudělá, už jen proto, že to prakticky není možné.
    Nelze nic vytýkat panu Olšanovi, Dělá jen to co má. Upozorní na další díru v CPU v obecné rovině a pak je na každém, aby posoudil, jestli při jeho způsobu používání CPU je nějak ohrožen a jestli s tím má něco dělat. Pokud to nedovede, tak mu počítač do rukou nepatří.

    • „takovéto slabiny fundamentálně narušují principy, na které stojí bezpečnost softwaru“
      Zkusím tuto větu přeložit pro méně chápavé:
      Virus ti deaktivuje bezpečnostní opatření.
      Takže počítač se bude tvářit že je vše OK.
      Jen ti bude chybět výkon. Ani ve správci úloh nic nenajdeš.
      Protože rootkit bude skryt hluboko v systému a tam na tu neplechu bude spotřebovávat volné prostředky.

      Doufám že jsem všechny BFU zdravě vyděsil.
      Na to že budou mít pomalý počítač jich většina slyší.

      • Nesmysl.
        Vir se ke mne nema vubec jak dostat. K instalaci viru do pocitace je potreba soucinnost uzivatele nebo fyzicky pristup k pocitaci. Nikoho ke svemu PC nepoustim a blbej jak patnik taky nejsem, takze zbesile neklikam na OK vsude, kde to na me vyskoci.

        Ve skutecnosti je pro bezneho uzivatele mnohem horsi to omezeni vykonu, ktere nastalo od nasazeni patchu na spektra/melta chyby. Bylo chyb od te doby sice pozehnane, ale jen snad dve chyby byly v teoreticke rovine spustitelne bez vedomi uzivatele PC na dalku pres Javascript na webove strance, kterou by uzivatel pripadne mohl navstivit. Pritom sama pravdepodobnost, ze se bezny uzivatel na takovou stranku dostane nemuze byt velka, ikdyz fakt je, ze kdyz vidime bordel v jakem se nachazi treba Cnews.cz, tak mozne je asi vsechno i ze sem nekdo podstrci i nejakou meltu.

        • „Zbesile neklikam na OK vsude, kde to na me vyskoci.“
          Redmarxů je plný internet, takže si nejsem jist, že to jsi ty.
          Ale jeden Redmax si tu stěžoval že google o něm ví kde všude byl v roce 2019. To mohlo vzniknout jedině tak že si zběsile kliknul na OK když se tě android zeptal jestli má povolit přístup k GPS. A malým písmem tam bylo napsáno že kliknutím na OK tě může sledovat.

        • Dám ti příměr k autu. Nevím proč jim BFU rozumí. V autě máš zámek dveří potom zámek volantu a zámek řazení.
          Ty tvrdíš že zámek volantu a řazení tam je zbytečný. Protože do auta ti nikdo nevleze. Ale každé auto má okna (Windows), kterým se do auta dostane i malé dítě.

          • Až ti bude v autě chybět benzín, tak víš kde hledat. Možná si ho potajmu půjčují tvoje dětí. To je sice sranda,ale až autem způsobí někomu škodu, tak jsi zodpovědný ty jako majitel.
            Když to převedu zpět na PC, tak kvůli BFU mi chodí hromada spamu a musím používat silná hesla, protože ze sítě zombie PC podobných tvému je veden bruteforce a spam útok.

          • Tvuj primer je blbej, protoze porad se snazis naznacit, ze do auta se muze dostat nekdo z venku treba pres okna. Jenze v pripade teto chyby a vetsine chyb typu spektra/melta musi uz nekdo sedet v aute a pripadnemu zlodejovi otevrit dvere nebo aspon okenko, jinak se zlodej do auta (operacniho systemu) nedostane.

            Jiste muzeme spekulovat nad tim, co je bezny uzivatel a co je prihlouple BFU, ale fakt je ze vykonove dopady uvedenych nechyb jsou pro ty procesory likvidacni a degraduji vykon na polovinu a uzivatel s tim nic nedadela, novejsi BIOS obvykle opravuje i jine chyby, uzivatel nema na vyber.

            Jisteze jsem povolil pouzivat polohu, protoze pouzivam aplikaci Mapy.cz na turistiku a bez dovoleni pouzivat GPS by jaksi nefungovala. A ano, vim, ze Google spojil kliknuti na dovoleni pouzivat GPS na Androidu s tim, ze si bude brat nejaka data, ale to neznamena, ze je to tak spravne jen proto, ze to tak chce Google.

            • no jistě, a taky když máš auto v garáži, někdo se ti tam musí vloupat, pak rzbít okna auta a auto třeba ukrást … padlé na obě hlavy … Samko sice pořád píše o BFU, přitom se sám presentuje, jako BFU … hlavně, že někoho vystrašil 😀 možná svoji babču

        • „K instalaci viru do pocitace je potreba soucinnost uzivatele nebo fyzicky pristup k pocitaci.“ tak to zcela urcite neni 😀
          (pokud nemyslis zneuziti teto konkretni zranitelnosti, ale mam dojem ze hovoris obecne)

  5. Pozor na to. Už to tu jednou bylo. Provalená slabina měla být jen na starých CPU.
    Ale časem se ukázalo, že se týká i nových. Jen intel si u nich vynutil delší NDA.
    Pro což může mít pádné argumenty technického rázu. Oprava na nich zabere víc času.
    Ale z mého pohledu to je podvod na zákazníky.

      • Vloni vyšlo najevo, že Intel vědomě uváděl zákazníky v omyl a lhal o zabezpečení nejnovějších procesorů CASCADE LAKE, kdy tvrdil v polovině tohoto roku, že tahle nová série jeho procesorů je zabezpečena proti dosud nejvážnější bezpečnostní mezeře nazvané ZOMBIELOAD. Až nyní se na veřejnost dostala informace, že Intel už ale více než půl roku ví o nové závažnější verzi této zranitelnosti, Zombieload v2 (TAA), která byla objevena, otestována a prokázána. Intel se dohodl na NDA, tedy utajení této informace před veřejností. Až nyní skončilo informační embargo a bylo tedy vše zveřejněno. Intel tak prokazatelně věděl o zranitelnosti i nejnovějších procesorů, které teprve přichází na trh, a přesto o nich tvrdil, že zranitelné nejsou.

        Letos očekávám podobný scénář.
        Intel o zranitelnosti mlčí. Takže zranitelnost je skoro jistě pod NDA