Il logo associato alla vulnerabilità.
Dal gennaio del 2018, mese in cui il portale The Register svelò all’opinione pubblica l’esistenza delle vulnerabilità nei processori x86 progettati dalla metà degli anni ’90 ad oggi, si è parlato diverse volte di Spectre (SP) e Meltdown (MD) – non dimentichiamo l’incessante lavoro dei ricercatori.
L’azienda che più di altre ha sofferto del clamoroso scoop giornalistico è stata Intel perché SP e MD, incluse le varianti individuate in un secondo momento, affliggevano la quasi totalità dei chip prodotti dal leader indiscusso del settore, un vero colpo di fortuna per AMD che ha guadagnato preziosi punti percentuali di market share anche grazie ad altri fattori concomitanti: dall’ottimo rapporto qualità/prezzo delle soluzioni desktop/server (Ryzen/Epyc) fino alle difficoltà incontrate dalla stessa Intel nel passare a processi produttivi più sofisticati (è ancora ferma ai 14nm contro i 12nm di AMD che diverranno forse 7nm a fine 2019) e produrre un adeguato numero di unità (scarsità delle CPU conseguente rincaro dei listini).
Nelle ultime settimane la numerosa famiglia di vulnerabilità si è arricchita di un nuovo esponente, Microarchitectural Data Sampling (MDS), o in termini più giornalisticamente semplici ZombieLoad. In cosa consiste esattamente la falla e come è possibile difendere i data center lo ha rivelato il noto sito Data Center Knowledge (DCW).
Dichiarazioni ufficiali: il punto della situazione
Partiamo innanzitutto da ZombieLoad, cosa consentirebbe di fare ad eventuali malintenzionati? In sintesi di rubare dati da un sistema che si appoggia ad una CPU Intel (AMD è immune a MDS) sfruttando l’esecuzione di determinati processi. Un malware adeguatamente confezionato è in grado di acquisire informazioni ad un’altra applicazione presente nel medesimo sistema, previa installazione nelle macchine tramite accesso “fisico”(difficile in un ambiente protetto) o remoto (es: via phishing, molto più facile). Il furto può avvenire inoltre tra macchine virtuali (VM) dello stesso server – in questo caso il livello di rischio è più alto perché un criminale potrebbe tranquillamente noleggiare una VM ed installarvi il malware per poi attaccare le altre VM.
Probabilmente [MDS] non sarà l’ultima vulnerabilità di questo tipo che vedremo. Nella corsa alla creazione delle CPU più veloci di sempre, i vendor hanno implementato un elevato numero di ottimizzazioni nel proprio hardware. Ed ora sono proprio queste ottimizzazioni ad essere sfruttate [dai malintenzionati]
ha dichiarato un esperto di sicurezza.
Zombieload, rassicura (prevedibilmente) una portavoce Intel interpellata da DCK, è ad ogni modo inefficace su un elevato numero di processori di ottava e nona generazione, oltre che sulla seconda generazione delle soluzioni server Xeon, poiché si avvalgono di adeguate protezioni a livello hardware/progettuale. Per tutte le altre famiglie di CPU sono state invece rilasciate delle mitigazioni via software (microcode in gergo). La portavoce ha tenuto infine a precisare che avvalersi dell’exploit al di fuori di un ambiente di laboratorio (dove è stato appunto scoperto e correttamente impiegato sul campo) è molto difficile e che, ad oggi, non esistono prove circa l’attuazione di “attacchi reali” basati su ZombieLoad.
Patch ed affini: mettere in sicurezza l’ambiente di lavoro
Intel, come si è detto, ha già rilasciato le prime patch anti MDS via Windows Update ma ZombieLoad necessita di ulteriori accorgimenti per essere efficacemente mitigato, in primis un aggiornamento ai bios dei vari produttori di schede madri (non ancora disponibili). In attesa degli update mancanti, gli addetti ai lavori consigliano di disattivare la funzionalità Hyper-Threading delle CPU, penalizzando tuttavia le prestazioni computazionali globali.
In ambienti multi-utente e di indubbia complessità come i data center si dovranno eseguire manualmente delle operazioni extra di aggiornamento a sistemi operativi, hypervisor e singole applicazioni – come avvenuto nell’infrastruttura di Hosting Solutions.
Secondo alcuni addetti ai lavori MDS non rappresenta una grave minaccia alla sicurezza perché difficile da impiegare sul campo, almeno nell’immediato:
Agli hacker potrebbero essere necessari giorni, mesi ed addirittura anni per sviluppare degli exploit funzionanti per le vulnerabilità individuate, ha affermato [Tom Hickman (VP azienda specializzata in soluzioni di sicurezza)]. “In questo caso si tratta di un attacco molto sofisticato e credo che [passerà molto tempo prima di vederlo all’opera]. Quindi potresti ragionare sul fatto di avere un po’ più di tempo a disposizione.
Un terzo interpellato ha aggiunto:
Le compagnie dovrebbero essere al sicuro. Ma le buone pratiche di sicurezza suggeriscono che dovrebbero prendere in anticipo le decisioni utili a mitigare questo rischio.
Per approfondire ulteriormente l’argomento Microarchitectural Data Sampling è possibile consultare l’esauriente articolo pubblicato da Intel.
Fonte: 1.
