Foreshadow تازه‌ترین حفره‌ی امنیتی است که پردازنده‌های مختلف به‌ویژه انواع اینتل را تهدید می‌کند.

رخنه جدید امنیتی ویندوز :آسیب‌پذیری‌های امنیتیSpectre وMeltdown همچنان اینتل وAMD و دیگر تولیدکنندگان ریزپردازنده را دنبال می‌کند. بعد از افشای اولیه‌ی این باگ و انتشار بسته‌های به‌روزرسانی مشکل‌دار، اینتل امیدوار بود که ریشه‌ی این مشکلات عمیق خاموش باقی بماند. باوجوداین، این‌گونه نشد و مصرف‌کنندگان و تجار و سازنده‌های پردازنده‌ها با آسیب‌پذیری دیگری مواجه هستند.

آسیب‌پذیریForeshadow چیست؟

Foreshadow که به‌نام «نقص پایانه‌ی سطح یک(L1FT)» نیز شناخته می‌شود، آخرین رخنه‌ی امنیتی است که بر پردازنده‌های اینتل تأثیر گذاشته است. باگ پیش‌بینی(Foreshadow) درکنار باگ‌هایSpectre (شبح) و سقوط(Meltdown) تعداد آسیب‌پذیری‌های اینتل را به عدد سه رساند.

این رخنه‌ی امنیتی از سه بخش تشکیل شده است: اولینِ آن ویژگی افزونه‌های حفاظت امنیتی اینتل(Security Guard Extensions (SGX را هدف قرار می‌دهد. این ویژگی در نسل هفتم پردازنده‌های اینتل معرفی شد که برای حفاظت از کد از تغییرات غیرمجاز طراحی شده است. دو بخش دیگر تقریباً بر تمام نسل‌هایCPUهای اینتل تأثیر می‌گذارد.

رخنه‌ی پیش‌بینی نتیجه‌ی تحقیقات امنیتی گروهی دو گروه مستقل است:

    ۱. گروه آی‌ام‌ایی‌سی دیسترینت(Imec-DistriNet) از دانشگاه لوان بلژیک.

    ۲. گروهی مشترک از دانشگاه‌های میشیگان و آدلاید و گروه داده‌کاوی سی‌اس‌آی‌آراُ دیتا ۶۱(CSIRO Data61).

پروفسور توماس وینیچ از دانشگاه میشیگان توضیح می‌دهد:

    این حمله از شش ماه پیش از تکنیک‌هایی استفاده می‌کند که به حملاتMeltdown بسیار شبیه است. بااین‌حال، متوجه شدیم به‌طور ویژه بخش قفل‌شده در پردازنده‌های اینتل را می‌توانیم هدف قرار دهیم. این کار اجازه می‌دهد اطلاعات دلخواهتان را از این مناطق امن و پنهان خارج کنید.

مسئله‌ی اصلی روشن است؛ رخنه‌ی پیش‌بینی اجازه‌ی دسترسی به اطلاعات محرمانه‌ی ذخیره‌شده در حافظه‌ی رایانه را می‌دهد. دستورالعمل‌های فنی اینتل بیان می‌کند که حوزه‌هایی از حافظه را می‌توان با علامت اجازه‌نداشتن برای دسترسی علامت‌گذاری کرد؛ اما نقطه‌ی مقابل درست است. ماشین اجراکننده‌ی کد مخرب یا ماشین مجازی مهمان روی سرور اَبری، ممکن است به قسمت‌هایی از حافظه دسترسی داشته باشد که نباید به آن دسترسی داشته باشد و درنتیجه، شاید داده‌های حساس را افشا کند.

در مطلبی در وبگاه اینتل چنین آمده است:

    گزارشی درباره‌ی چگونگی استفاده از این روش‌ها در دنیای واقعی دریافت نکردیم؛ اما این امر بیشتر بر نیاز همه به رعایت بهترین اقدام‌های امنیتی تأکید دارد.

این وبگاه درادامه توضیح می‌دهد که چگونه پردازنده‌های آینده از همان آسیب‌پذیری رنج نمی‌برند.

سه‌جنبه‌ی آسیب‌پذیریForeshadow

درForeshadow سه آسیب‌پذیری مجزا وجود دارد که هرکدام کدCVE مخصوص خود را دارد:

۱. CVE-2018-3615: آسیب‌پذیری افزونه‌های حفاظت امنیتی(SGX) که باعث می‌شود سیستم اجازه‌ی افشای اطلاعات مقیم در حافظه‌ی پنهان سطح یک را داشته باشد؛

۲. CVE-2018-3620: بر سیستم‌عامل‌ها و حالت مدیریت سیستم(SMM) و سیستم‌هایی تأثیر می‌گذارد که از حالت اجرای پیش‌بینی‌پذیر استفاده می‌کند و ترجمه‌ی آدرس‌ها ممکن است باعث دسترسی غیرمجاز به افشای اطلاعات مقیم در حافظه‌ی پنهان سطح یک شود؛

۳. CVE-2018-3646: بر ماشین‌های مجازی اثر می‌گذارد. این آسیب‌پذیری ممکن است با اجازه‌ی دسترسی محلی با مجوز کاربر، اجازه‌ی افشای اطلاعات مقیم در حافظه‌ی پنهان سطح یک را به هکر مهمان بدهد.

صفحه‌ی توضیحاتCVE اینتل همچنین فهرست کاملی از سیستم‌عامل‌های مبتنی بر اینتل را معرفی می‌کند که از آسیب‌پذیری‌هایForeshadow اثر می‌پذیرد. این فهرست را براساس مدلCPU خود بررسی کنید.

رایانه‌ی من دربرابرForeshadow آسیب‌پذیر است؟

نخست باید اشاره کنیم که تا وقتی سیستم خود را کاملاً به‌روز نگه دارید، در امان هستید. گروه‌های تحقیقاتی که به‌طور جداگانهForeshadow را کشف کردند، جزئیات آسیب‌پذیری را در ماه ژانویه به اینتل اعلام کردند. بدین‌ترتیب، اینتل برای توسعه و انتشار وصله‌ی امنیتی زمانی طولانی داشته است.

علاوه‌براین، محققان و اینتل بر این نکته تأکید می‌کنند که این حملات به‌ندرت اتفاق می‌افتد. دلیل این امر آن است که مهارت و هزینه‌ی لازم برای انجام این حمله انجامش را دشوار می‌کند؛ ازاین‌رو، استفاده از حملات بدافزار و روش‌های فیشینگ(Phishing) بسیار آسان‌تر است.

اینتل با فروشندگان سیستم و سازندگان تجهیزات و دیگر شرکت‌های توسعه‌ی سیستم‌ها برای طراحی وصله‌ی امنیتی همکاری کرده است. این امر به حفاظت از سیستم‌ها دربرابر این روش‌ها می‌تواند کمک کند.

گفتنی است در رخنه جدید امنیتی ویندوز اغلب کاربران ویژگیSGX اینتل را به‌کار نمی‌گیرند؛ بنابراین، داده‌های حساس خود را در آنجا ذخیره نمی‌کنند. همچنین، Foreshadow اثری را در فایل‌های لاگ(Log) معمولی رها نمی‌کند. بنابراین، با نگاه به این فایل‌ها اثری از حمله‌ی امنیتی نمی‌توانید پیدا کنید. هرچند هکری که مهارت کافی برای چنین حمله‌ای داشته باشد، اثری در فایل‌های لاگ نخواهد گذاشت.

چگونهForeshadow بر ماشین‌های مجازی تأثیر می‌گذارد؟

ممکن است از ماشین مجازی(VM) در رایانه‌ برای داشتن کپی از سیستم‌عامل دیگر استفاده کنید. VMها برای آزمایش توزیع‌های جدید لینوکسیا راه‌اندازی نسخه‌ی قدیمی ویندوز برای استفاده از برنامه‌ی خاص مفید است.

ماشین‌های مجازی به‌وفور در محیط‌های سرویس‌دهنده‌ی اَبری مانند آژور(Azure) یاAmazon AWS استفاده می‌شود. اجرای همزمان ماشین‌های مجازی اجازه می‌دهد با استفاده از یک سخت‌افزار سرویس‌های بیشتری استفاده شود.

این موضوع بسیار مهم است که ماشین‌های مجازی در سرویس‌دهنده‌های اَبری از یکدیگر مجزا باشد. این دقیقا کاری است کهForeshadow انجام می‌دهد؛ یعنی ازطریق جداسازی‌های اشاره‌شده عمل می‌کند و به ماشین مجازی اجازه می‌دهد تا داده‌ها را از روی ماشین‌های مجازی دیگر بخواند.

آیا داستان رخنه‌های امنیتی اینتل پایان می‌یابد؟

اینتل وAMD و دیگر تولیدکنندگان ریزپردازنده متأثر ازSpectre وMeltdown و نیزForeshadow دوره‌ی بسیار سختی را می‌گذرانند. توسعه‌ی پردازنده‌ها برای دهه‌ها است که با استفاده از ویژگی اجرای پیش‌بینی‌شده(Speculative Execution) سیستم را سریع‌تر می‌کند. بااین‌حال، مشکل کنونی این است که اجرای پیش‌بینی‌شده آسیب‌پذیر است؛ به‌همین‌دلیل تولیدکننده‌های پردازنده‌ها به خانه‌ی اول برمی‌گردند تا مطمئن شوند پردازنده‌های آينده مشکلات مشابه را نداشته باشند.

شایان ذکر است تنها مسئله‌ی نجات‌دهنده این است که بیشتر اوقات طعمه‌ی کوچکی برای هکرها هستیم. بدین‌ترتیب، هوشیاری دربرابر بدافزار و حملات فیشینگ و کلاه‌برداری‌های بانکی و دیگر حملات متداول شما را ایمن نگه می‌دارد. فقط به‌یاد داشته باشید که سیستم خود را به‌روز  نگه دارید و به‌روزرسانی‌های پردازنده را به‌محض انتشار نصب کنید.