שנת 2018 תיזכר כשנת פרצות האבטחה כשאנו מקבלים היום מידע על שלוש פרצות חדשות במעבדי אינטל המשתמשות בנקודת תורפה בזיכרון הקאש L1 במעבד. הפרצות החדשות קיבלו את השם L1TF (ר"ת L1 Terminal Fault) על ידי אינטל ואת השם Foreshadow ו-Foreshadow-NG על ידי החוקרים שאיתרו את הפרצות.
נושא פרצות האבטחה במעבדים פרץ בתחילת 2018 עם הופעת פרצות Spectre ו-Meltdown, אך לא נגמר בהן, כאשר בהמשך השנה הופיעו פרצות נוספות, בהן LazyFP, TLBleed, Spectre NG, SSB ועוד. רובן פגעו במעבדי אינטל, אך לא רק, וחלקן השפיעו על כלל המעבדים והיצרנים בשוק לאור צורת העבודה של המעבדים המודרניים.
פרצות L1TF, או Foreshadow, החדשות משתמשות באופן עקרוני באותה פרצה מהותית במעבדים עליה שמענו בעבר, זו עושה שימוש במנגנון ה-speculative execution המבצע חיזוי למידע אותו המשתמש ידרוש ובדרך מאפשר לפורץ לגשת למידע חסוי. במקרה הנוכחי מדובר על מידע השמור בזיכרון הקאש L1 במעבד ומאפשר קריאה של המידע בחלון זמן קצר אך משמעותי.
שלוש הפרצות שאוגדו תחת השם L1TF ו-Foreshadow הן:
- Foreshadow – מזהה CVE-2018-3615 – פרצה המשפיעה על מנגנון ה-SGX (ר"ת Software Guard Extensions) ומאפשרת גישה לא מורשית לזיכרון הקאש L1 ולמידע שבו.
- Foreshadow-NG – מזהה CVE-2018-3620 – פרצה התוקפת את את מנגנון ה-SMM (ר"ת System Management Mode) וליבת (Kernel) מערכת ההפעלה על מנת לגשת למידע חסוי.
- Foreshadow-NG – מזהה CVE-2018-3646 – פרצה התוקפת מערכות וירטואליות (virtual machines) בשרתים ומאפשרת גישה לא מורשה בין המכונות הוירטואליות בשרת.
הסבר וידאו על הפרצות החדשות:
דמו של פרצת Foreshadow:
לפי אינטל, בעוד ששתי הגרסאות הראשונות לפרצת ה-L1TF ניתנות לתיקון באמצעות עדכון מיקרו קוד אותו החברה כבר פיתחה באמצעות החוקרים שזיהו את הפרצות, הסוג השלישי, המשפיע על מערכות וירטואליות, בעייתי יותר לתיקון אך אפשרי באמצעות עדכונים למערכות. תיקון זה עשוי להשפיע על ביצועי השרתים.
שנת 2018 עדיין לא נגמרה, מה שאומר שיש עדיין מספיק זמן לחוקרי אבטחה למצוא פרצות נוספות מלבד אלו שנמצאו עד היום. הדבר החשוב בפרצות הללו הוא התיקונים אותם פרסמו יצרני המעבדים, אותם חשוב להתקין על מנת לאבטח את מערכת ההפעלה.
עוקבים? כל החדשות מגאדג'טי
חלק מהפוסטים באתר כוללים קישורי תכניות שותפים, עבורם נקבל עמלה עם ביצוע רכישה בפועל של מוצרים. עמלה זו לא מייקרת את העלות הסופית של המוצרים עבורכם.
הסקירות והתכנים המופיעים באתר מהווים המלצה בלבד, וכך יש להתייחס אליהם. כל המחירים המופיעים באתר נכונים ליום הפרסום בלבד והאחריות לקניית מוצר או שירות כזה או אחר מוטלת עליך בלבד – השימוש באתר בהתאם לתנאי השימוש והפרטיות.