Gli esperti di sicurezza informatica hanno scoperto una nuova vulnerabilità nei chip Intel che può essere utilizzata per rubare informazioni sensibili direttamente dal processore. I ricercatori lo hanno chiamato "ZombieLoad". ZombieLoad è un attacco side-by-side contro i chip Intel che consente agli hacker di sfruttare efficacemente un difetto nella loro architettura per ottenere dati arbitrari, ma non consente loro di iniettare ed eseguire codice dannoso arbitrario, utilizzandolo quindi come unico strumento per intrusione e pirateria informatica. I computer remoti non sono possibili.
Secondo Intel, ZombieLoad consiste in quattro bug nel microcodice dei suoi chip, che i ricercatori hanno segnalato all'azienda solo un mese fa. Quasi tutti i computer con chip Intel rilasciati dal 2011 sono vulnerabili a questa vulnerabilità. I chip ARM e AMD non sono interessati da questa vulnerabilità.
ZombieLoad ricorda Meltdown e Spectre, sensazionali in passato, che sfruttavano un bug nel sistema di esecuzione speculativa (anticipata) dei comandi. L'esecuzione speculativa aiuta i processori a prevedere in una certa misura ciò di cui un'applicazione o un sistema operativo potrebbe aver bisogno nel prossimo futuro, rendendo l'applicazione più veloce ed efficiente. Il processore restituirà i risultati delle sue previsioni se sono corrette o ripristinerà i risultati dell'esecuzione se la previsione è falsa. Sia Meltdown che Spectre sfruttano la capacità di abusare di questa funzionalità per ottenere l'accesso diretto alle informazioni gestite dal processore.
ZombieLoad si traduce come “caricamento di zombie”, il che spiega in parte il meccanismo della vulnerabilità. Durante l'attacco, al processore vengono forniti più dati di quelli che può gestire correttamente, facendo sì che il processore richieda aiuto al microcodice per evitare un arresto anomalo. In genere, le applicazioni possono vedere solo i propri dati, ma un bug causato dal sovraccarico della CPU consente di aggirare questa limitazione. I ricercatori hanno affermato che ZombieLoad è in grado di ottenere tutti i dati utilizzati dai core del processore. Intel afferma che la correzione del microcodice aiuterà a liberare i buffer del processore in caso di sovraccarico, impedendo alle applicazioni di leggere dati che non erano destinate a leggere.
In un video dimostrativo del funzionamento della vulnerabilità, i ricercatori hanno dimostrato che essa può essere utilizzata per scoprire in tempo reale quali siti web una persona sta visitando, ma può essere altrettanto facilmente utilizzata per ottenere, ad esempio, le password o i token di accesso utilizzati da parte degli utenti per le operazioni di pagamento
Come Meltdown e Spectre, ZombieLoad colpisce non solo PC e laptop, ma anche server cloud. La vulnerabilità può essere sfruttata su macchine virtuali che devono essere isolate da altri sistemi virtuali e dai relativi dispositivi host per aggirare potenzialmente questo isolamento. Daniel Gruss, uno dei ricercatori che ha scoperto la vulnerabilità, sostiene che questa può leggere i dati dai processori dei server allo stesso modo dei personal computer. Questo è un problema potenzialmente serio negli ambienti cloud in cui le macchine virtuali di client diversi sono in esecuzione sullo stesso hardware server. Sebbene gli attacchi con ZombieLoad non siano mai stati denunciati pubblicamente, i ricercatori non possono escludere che possano essere avvenuti, poiché il furto di dati non sempre lascia tracce.
Cosa significa questo per l’utente medio? Non c'è bisogno di farsi prendere dal panico. Questo è ben lungi dall'essere un exploit o una vulnerabilità zero-day in cui un utente malintenzionato può prendere il controllo del tuo computer in un istante. Gruss spiega che ZombieLoad è "più facile di Spectre" ma "più difficile di Meltdown", entrambi i quali richiedono un certo set di abilità e uno sforzo per essere usati in modo offensivo. Infatti, per eseguire un attacco utilizzando ZombieLoad, devi in qualche modo scaricare l'applicazione infetta ed eseguirla tu stesso, quindi la vulnerabilità aiuterà l'aggressore a scaricare tutti i tuoi dati. Tuttavia, ci sono modi molto più semplici per hackerare un computer e rubarlo.
Intel ha già rilasciato il microcodice per applicare patch ai processori interessati, tra cui i chip Intel Xeon, Intel Broadwell, Sandy Bridge, Skylake e Haswell, Intel Kaby Lake, Coffee Lake, Whiskey Lake e Cascade Lake, nonché tutti i processori Atom e Knights. Anche altre grandi aziende hanno rilasciato una correzione per la vulnerabilità. Anche Apple, Microsoft e Google hanno già rilasciato le patch corrispondenti per il loro browser.
In un'intervista con TechCrunch, Intel ha affermato che gli aggiornamenti al microcodice del chip, come le patch precedenti, influenzeranno le prestazioni del processore. Un portavoce di Intel ha affermato che la maggior parte dei dispositivi consumer con patch potrebbero subire una perdita di prestazioni nel caso peggiore del 3%, con una perdita fino al 9% per i data center. Ma secondo Intel, è improbabile che ciò si noti nella maggior parte degli scenari.
Tuttavia, gli ingegneri Apple non sono completamente d'accordo con Intel, che riguardo al metodo di protezione completa contro il “Microarchitectural Data Sampling” (nome ufficiale ZombieLoad) affermano che per chiudere completamente la vulnerabilità è necessario disabilitare completamente la tecnologia Intel Hyper-Threading nei processori, che, secondo i test degli specialisti Apple, può ridurre le prestazioni dei dispositivi utente in una serie di attività del 40%.
Né Intel né Daniel e il suo team hanno pubblicato il codice che implementa la vulnerabilità, quindi non esiste alcuna minaccia diretta e immediata per l'utente medio. E le patch rilasciate tempestivamente lo eliminano completamente, ma dato che ciascuna di queste correzioni costa agli utenti alcune perdite di prestazioni, sorgono alcune domande per Intel.
Fonte: 3dnews.ru