En nyligen upptäckt processorsårbarhet kan potentiellt utsätta säker information för risker i alla Intel-baserade PC-datorer som tillverkats sedan 2008. Det kan påverka användare som förlitar sig på en digital lockbox-funktion som kallas Intel Software Guard Extensions, eller SGX, såväl som de som använder vanliga molnbaserade tjänster, säger en ny rapport.

Forskare vid University of Michigan, den belgiska forskargruppen imec-Distrinet, Technion Israel Institute of Technology, University of Adelaide och Data61 identifierade SGX-säkerhetshålet, kallad Föreshadow, i januari och informerade Intel. Det fick Intel att upptäcka sin bredare potential i molnet. Denna andra variant, Föreshadow-NG, inriktar sig på Intel-baserade virtualiseringsmiljöer som leverantörer av molndatorer som Amazon och Microsoft använder för att skapa tusentals virtuella datorer på en enda stor server.

Intel har släppt mjukvara och mikrokoduppdateringar för att skydda mot båda varianterna av attacker. Molnleverantörer kommer att behöva installera uppdateringarna för att skydda sina maskiner. På individnivå, ägarna till varje SGX-kapabel Intel-dator som tillverkats sedan 2016 kommer att behöva en uppdatering för att skydda sin SGX. Vissa av dessa uppdateringar kommer att installeras automatiskt medan andra måste installeras manuellt, beroende på hur en maskin är konfigurerad.

Visas den 16 augusti vid Usenix Security Symposium i Baltimore, felet liknar Spectre och Meltdown, de hårdvarubaserade attackerna som skakade datorsäkerhetsvärlden i början av 2018. Forskare kunde bryta flera säkerhetsfunktioner som finns i de flesta Intel-baserade maskiner.

"SGX, virtualiseringsmiljöer och andra liknande tekniker förändrar världen genom att göra det möjligt för oss att använda datorresurser på nya sätt, och att lägga mycket känsliga data i molnet – medicinska journaler, kryptovaluta, biometrisk information som fingeravtryck, sa Ofir Weisse, doktorand forskarassistent i datavetenskap och teknik vid U-M och en författare på uppsatsen som presenterades på Usenix. "Det är viktiga mål, men sårbarheter som denna visar hur viktigt det är att gå försiktigt fram."

Attackerna och deras mål

Software Guard Extensions kännetecknar att Foreshadow-demonstrationsattackmålen inte används i stor utsträckning idag. Används av bara en handfull molnleverantörer och några hundra tusen kunder, den ligger vilande på de allra flesta datorer utrustade med den, och dessa maskiner är inte sårbara just nu. Som sagt, forskarna varnar för att hotet kommer att växa med användningen av produkten.

"Så länge användare installerar uppdateringen, de kommer att bli bra. Och faktiskt, de allra flesta PC-ägare använder inte SGX, så det kommer sannolikt inte att bli ett stort problem just nu, sa Thomas Wenisch, en U-M datavetenskap och ingenjörsdocent och en författare på tidningen. "Den verkliga faran ligger i framtiden, om SGX blir mer populärt och det fortfarande finns ett stort antal maskiner som inte har uppdaterats. Det är därför den här uppdateringen är så viktig."

SGX skapar en digital låsbox som kallas en "säker enklav" i en maskin, hålla data och applikationer inuti isolerade från resten av maskinen. Även om en säkerhetssårbarhet äventyrar hela maskinen, data som skyddas av SGX ska förbli otillgängliga för alla utom ägaren av data.

Huvudapplikationen för SGX är att möjliggöra behandling och lagring av känslig information, som proprietär affärsinformation eller hälsodata, vid externa tredjepartsdatacenter där inte ens datacenteranställda ska kunna komma åt den skyddade datan. SGX kan också användas för att kontrollera distributionen av upphovsrättsskyddat digitalt innehåll, till exempel att tillåta en film att ses endast på specifika maskiner.

Foreshadow bryter SGX:s låslåda, gör det möjligt för en angripare att läsa och ändra data inuti. Även om detta inte är den första attacken mot SGX, det är det mest skadliga hittills.

"Tidigare arbete kunde få en del av datan en del av tiden. Foreshadow får det mesta av datan för det mesta, sa Daniel Genkin, en U-M biträdande professor i datavetenskap och teknik och en författare på tidningen. "Förutom att läsa data, Foreshadow extraherar också vad som kallas en attestationsnyckel. Den nyckeln gör det möjligt för angripare att maskera sig som en säker maskin och lura människor att skicka hemliga data till den."

Den andra varianten, Föreshadow-NG, bryter den digitala väggen som håller enskilda molnkunders virtuella datorer isolerade från varandra på stora servrar. Detta kan göra det möjligt för en skadlig virtuell maskin som körs i molnet att läsa data som tillhör andra virtuella maskiner. Virtualiseringskoden finns i alla Intel-baserade datorer som tillverkats sedan 2008.

"Foreshadow-NG kan bryta de grundläggande säkerhetsegenskaperna som många molnbaserade tjänster tar för givna, sa Baris Kasikci, en U-M biträdande professor i datavetenskap och teknik och en författare på tidningen.

Hur attackerna fungerar

Båda varianterna av sårbarheten får tillgång till offermaskinen med hjälp av vad som kallas en sidokanalattack. Dessa attacker härleder information om ett systems inre funktion genom att observera mönster i till synes ofarlig information – hur lång tid det tar för processorn att komma åt maskinens minne, till exempel. Detta kan användas för att få tillgång till maskinens inre funktioner.

Attacken förvirrar sedan systemets processor genom att utnyttja en funktion som kallas spekulativ exekvering. Används i alla moderna processorer, spekulativ exekvering påskyndar bearbetningen genom att göra det möjligt för processorn att i princip gissa vad den kommer att bli ombedd att göra härnäst och planera därefter.

Attacken matar in falsk information som leder spekulativ avrättning till en rad felaktiga gissningar. Som en förare som följer en felaktig GPS, processorn blir hopplöst förlorad. Denna förvirring utnyttjas sedan för att få offrets maskin att läcka känslig information. I vissa fall, det kan till och med ändra informationen på offermaskinen.

Även om dessa sårbarheter fångades upp innan de orsakade stor skada, de avslöjar bräckligheten hos säkra enklaver och virtualiseringstekniker säger Ofir Weisse, doktoranden forskarassistent som deltar i arbetet. Han tror att nyckeln till att hålla teknik säker ligger i att göra design öppna och tillgängliga för forskare så att de snabbt kan identifiera och reparera sårbarheter.

Foreshadow beskrivs i en artikel med titeln "Foreshadow:Extracting the Keys to the Intel SGX Kingdom with Transient Out-of-Order Execution."