Cybertech Europe 2018

Bitdefender ha scoperto un nuovo attacco side channel

Sempre legato alla speculative execution, è un attacco side channel che colpisce sistemi basati su Windows e processori Intel

Autore: Redazione ImpresaCity


Alla scoperta di Spectre e Meltdown si era capito quasi subito che gli attacchi side channel sarebbero stati qualcosa di cui preoccuparsi a lungo. Casi simili sono stati infatti diversi. Ora Bitdefender ha identificato e dimostrato un nuovo attacco dello stesso tipo. Che però non viene bloccato dalle tecniche di mitigation sviluppate appunto per Spectre e Meltdown.

La scoperta di Bitdefender è stata comunicata ad Intel oltre un anno fa, ed è stata resa pubblica solo adesso. Nel frattempo Intel, Microsoft ed altri vendor interessati hanno sviluppato apposite patch per difendersi dal nuovo attacco.

La vulnerabilità rilevata da Bitdefender deriva dal modo di operare delle funzioni di speculative execution dei moderni processori Intel (dal 2012 in poi). La software house non dà molti dettagli in merito, giustamente. Spiega però che il nuovo attacco è legato alla speculative execution di una particolare istruzione e che permette di accedere a zone normalmente protette della memoria di un computer.

intel core x series processor
L'istruzione coinvolta è SWAPGS (Swap GS Base Register) ed è vulnerabile quando utilizzata da Windows su processori Intel a 64 bit. Bitdefender ritiene che il problema non si estenda ad altri sistemi operativi o ad altri processori x86. Per difendersi dal nuovo potenziale attacco è innanzitutto necessario applicare le patch di sistema sviluppate da Microsoft.

Bitdefender spiega inoltre che il suo modulo software Hypervisor Introspection è in grado di rilevare un attacco basato su SWAPGS, in un ambiente virtualizzato. Questo è possibile perché il modulo di Bitdefender esamina la memoria delle macchine virtuali in esecuzione e "scopre" le istruzioni SWAPGS. A quel punto impedisce che vengano eseguite in maniera speculativa, evitando un attacco side channel.

Hypervisor Introspection è quindi una soluzione praticabile quando non si è ancora avuto modo di applicare le patch software necessarie. È disponibile per Citrix Hypervisor e Xen. E anche per KVM, ma come technology preview.