Eksperter hos Bitdefender er blevet opmærksomme på en ny metode, hvor det er muligt at påvirke Intel-processorer i servere og arbejdsstationer, til at lække fortrolige data.
Sikkerhedsbristen kaldes LVI-LFB (Load Value Injection in the Line Fill Buffers) og er en ny type side channel-angreb. I særlige scenarier gør metoden det muligt for hackere, at indskyde skadelige load værdier i specifikke mikro-arkitektoniske strukturer, som, når de bliver brugt af ofret, kan føre til læk af fortrolige informationer fra hele den påvirkede enhed.
Den lækkede information kan bestå af hvad som helst, heriblandt krypteringsnøgler og kodeord, som er gemt i hukommelsen. I de værste tilfælde, vil hackeren have markant kontrol over den sårbare enhed (eller endpoint) og al information der er gemt på den.
Metoden er især farlig på steder, hvor flere brugere deler adgang til den samme server, som i datacentre eller på virksomheders arbejdsstationer. Det er nemlig muligt for en påvirket server, at lække data om andre brugere på serveren, når én af brugerne benytter sig af den påvirkede hardware.
Bogdan Botezatu, sikkerhedsekspert hos Bitdefender, fortæller, at man kan gøre to ting, for helt at fjerne sårbarheden: “Det kan enten være nødvendigt helt at udskifte hardwaren, med nye og sikrede CPU’er, når de bliver tilgængelige. Ellers bør man deaktivere hyper-threading-funktioner der tilfører ekstra ydeevne til systemer hvor sikkerheden er afgørende.”
Botezatu tilføjer, at det er afgørende, at man sørger for at opdatere mikrokode patches og styresystem til seneste version. Derudover understreger han, at eksisterende løsninger for side channel-angrebene Meltdown, Spectre og MDS ikke virker fyldestgørende i dette tilfælde.
Botezatu fortæller, at der er tre ting som skal gøres med det samme af IT-afdelinger i alle virksomheder, der bruger den sårbare hardware:
- Installér patches (mikrokode, styresystem, hypervisor) så snart de bliver tilgængelige.
- Installér en sikkerhedsløsning der giver synlighedpå hypervisor-niveau.
- Inspicér kritiske systemer for tegn på angreb, hvor det er muligt.
Bitdefender rapporterede angrebet til Intel den 10. februar 2020, men var ikke de første til at rapportere angrebet, da et forskningshold havde gjort det samme i april 2019. Den 25. februar anerkendte Intel problemet.
Bitdefender vil gerne anerkende forskerholdet der først opdagede bristen, samt takke dem for deres samarbejde: Jo Van Bulck, Daniel Moghimi, Michael Schwarz, Moritz Lipp, Marina Minkin, Daniel Genkin, Yuval Yarom, Berk Sunar, Daniel Gruss, and Frank Piessens.
De har lavet en hjemmeside og skrevet en akademisk artikel, som kan findes her:
https://lviattack.eu/
https://lviattack.eu/lvi.pdf