PCをIntelのForeshadowの欠陥から保護する方法
Foreshadowは、L1 Terminal Faultとも呼ばれ、Intelのプロセッサでの投機的実行に関するもう1つの問題です。悪意のあるソフトウェアが、SpecterやMeltdownの欠陥でさえクラックできない安全な領域に侵入することを可能にします。.
フォーシャドウとは?
具体的には、ForeshadowはIntelのSGX(Software Guard Extensions)機能を攻撃します。これは、プログラムがコンピュータ上の他のプログラムからもアクセスできない安全な「エンクレーブ」を作成できるようにするために、Intelチップに組み込まれています。マルウェアがコンピュータ上にあっても、安全な飛び地論にアクセスすることはできません。 SpectreとMeltdownが発表されたとき、セキュリティ研究者はSGXで保護されたメモリはSpectreとMeltdownの攻撃にほとんど影響されないことを発見しました。.
セキュリティ研究者が「Foreshadow - Next Generation」またはForeshadow-NGと呼んでいる2つの関連する攻撃もあります。これらにより、システム管理モード(SMM)、オペレーティングシステムカーネル、または仮想マシンハイパーバイザーの情報にアクセスできます。理論上、システム上の1つの仮想マシンで実行されているコードは、それらの仮想マシンが完全に分離されていると想定されていても、システム上の別の仮想マシンに格納された情報を読み取ることができます。.
SpectreやMeltdownのようなForeshadowとForeshadow-NGは投機的実行に欠陥を使います。現代のプロセッサは、次に実行すると思われるコードを推測し、それをプリエンプティブに実行して時間を節約します。プログラムがコードを実行しようとした場合、それはすでに完了しており、プロセッサは結果を認識しています。そうでなければ、プロセッサは結果を捨てることができる.
ただし、この投機的実行では情報が残ります。たとえば、投機的実行プロセスが特定の種類の要求を実行するのにかかる時間に基づいて、プログラムは、メモリのその領域にアクセスできない場合でも、メモリの領域にあるデータを推測できます。悪意のあるプログラムはこれらの技術を使用して保護されたメモリを読み取ることができるため、L1キャッシュに格納されているデータにもアクセスできます。これは、安全な暗号化キーが格納されているCPU上の低レベルメモリです。これらの攻撃が「L1 Terminal Fault」またはL1TFとも呼ばれるのはそのためです。.
Foreshadowを利用するためには、攻撃者はあなたのコンピュータ上でコードを実行することができる必要があります。コードは特別な権限を必要としません - それは低レベルのシステムアクセスのない標準的なユーザープログラムであるかもしれません、あるいは仮想マシンの中で走るソフトウェアさえありえます.
SpecterとMeltdownの発表以降、投機的実行機能を悪用する攻撃が着実に行われてきました。たとえば、SSB(Speculative Store Bypass)攻撃は、一部のARMプロセッサだけでなく、IntelおよびAMDのプロセッサにも影響を及ぼしました。 2018年5月に発表されました.
フォアシャドウは野生で使われている?
Foreshadowはセキュリティ研究者によって発見されました。これらの研究者は、概念実証、つまり機能的な攻撃を受けていますが、現時点では発表していません。これにより、全員が攻撃から保護するためにパッチを作成、リリース、および適用する時間が与えられます。.
PCを保護する方法
そもそもIntelのチップを搭載したPCだけがForeshadowに対して脆弱です。 AMDのチップはこの欠陥に対して脆弱ではない.
Microsoftの公式セキュリティ勧告によると、ほとんどのWindows PCはForeshadowから身を守るためにオペレーティングシステムのアップデートのみが必要です。最新のパッチをインストールするためにWindows Updateを実行するだけです。マイクロソフトは、これらのパッチをインストールしたことによるパフォーマンスの低下に気づいたことはないと語った。.
PCによっては、自分自身を保護するために新しいIntelマイクロコードが必要な場合もあります。 Intelは、これらは今年初めにリリースされたものと同じマイクロコードアップデートであると言います。最新のUEFIまたはBIOSのアップデートをPCまたはマザーボードの製造元からインストールすることで、ご使用のPCで使用可能な場合は新しいファームウェアを入手できます。マイクロソフトから直接マイクロコードアップデートをインストールすることもできます。.
システム管理者が知っておくべきこと
仮想マシン用のハイパーバイザーソフトウェア(たとえば、Hyper-V)を実行しているPCも、そのハイパーバイザーソフトウェアの更新が必要になります。たとえば、MicrosoftのHyper-Vアップデートに加えて、VMWareは仮想マシンソフトウェアのアップデートをリリースしました。.
Hyper-Vまたは仮想化ベースのセキュリティを使用しているシステムでは、さらに大幅な変更が必要になる場合があります。これにはハイパースレッディングを無効にすることも含まれます。これはコンピュータの動作を遅くします。ほとんどの人はこれを行う必要はありませんが、Intel CPU上でHyper-Vを実行しているWindows Server管理者は、仮想マシンを安全に保つためにシステムのBIOSでハイパースレッディングを無効にすることを真剣に検討する必要があります。.
Microsoft AzureやAmazon Web Servicesなどのクラウドプロバイダも、共有システム上の仮想マシンを攻撃から保護するために自社のシステムにパッチを適用しています。.
他のオペレーティングシステムにもパッチが必要な場合があります。たとえば、Ubuntuはこれらの攻撃から保護するためにLinuxカーネルアップデートをリリースしました。 Appleはこの攻撃についてまだコメントしていません.
具体的には、これらの欠陥を識別するCVE番号は、Intel SGXに対する攻撃の場合はCVE-2018-3615、オペレーティングシステムおよびシステム管理モードに対する攻撃の場合はCVE-2018-3620、そして仮想マシンマネージャ.
ブログ記事の中で、IntelはL1TFベースの攻撃を阻止しながらパフォーマンスを改善するためのより良い解決策に取り組んでいると述べた。このソリューションは必要なときだけ保護を適用し、パフォーマンスを向上させます。 Intelは、すでにこの機能を提供しているプレリリースCPUマイクロコードを一部のパートナーに提供し、それをリリースすることを評価していると語った。.
最後に、Intelは「L1TFはハードウェアレベルでの変更によっても対処されている」と述べています。パフォーマンスの低下が少ない.
画像クレジット:Robson90 / Shutterstock.com、Foreshadow.