È stata scoperta una nuova vulnerabilità che riguarda tutte le moderne CPU Intel installate nei server (prodotti tra il 2012 e il 2020), nei desktop e nei laptop, comprese quelle della nona generazione.
La vulnerabilità di tipo Load Value Injection e identificata come CVE-2020-0551 può portare alla fuga di informazioni riservate e dati sensibili in determinati scenari applicativi e potrebbe essere particolarmente impattante negli ambienti multi-tenant come workstation aziendali o server dei data center.
La stessa Intel, da noi interpellata in merito, “non crede comunque che questo metodo di attacco sia pratico da impiegare nelle situazioni reali in cui ci affidiamo a OS e VMM, per via dei numerosi e complessi requisiti che devono essere soddisfatti per poter sfruttare con successo la vulnerabilità di tipo Load Value Injection. Nuove linee guida e strumenti per la mitigazione di LVI sono ora disponibili e funzionano congiuntamente alle mitigazioni già rilasciate per ridurre sostanzialmente la superficie complessiva dell’attacco. Ringraziamo i ricercatori che hanno lavorato con noi e i nostri partner del settore per il loro contributo nella divulgazione coordinata di queste informazioni”.
A tal proposito, Intel ha pubblicato due utili approfondimenti tecnici (disponibili qui e qui) per meglio comprendere il funzionamento del sistema di Load Value Injection (LVI) e nel frattempo ha rilasciato l’apposita patch che è possibile installare facendo riferimento per eventuali dettagli agli avvisi pubblicati sul suo sito.
Indice degli argomenti
I dettagli della vulnerabilità nelle CPU Intel
Scoperta dai ricercatori di sicurezza Bitdefender e da altri analisti indipendenti, la vulnerabilità potrebbe consentire ad un eventuale aggressore remoto di manipolare le funzionalità a livello hardware previste da Intel nelle sue CPU e iniettare valori anomali in determinate strutture integrate nella microarchitettura delle CPU che vengono poi utilizzate dalla vittima.
Teoricamente, quindi, la vulnerabilità nelle CPU Intel potrebbe consentire ad un malintenzionato che ha accesso a un’infrastruttura condivisa (pensiamo, ad esempio, ai fornitori di cloud pubblici o ad altri ambienti condivisi all’interno di un’azienda) di divulgare dati a cui altrimenti non avrebbe accesso.
Ciò è possibile in quanto lo sfruttamento della nuova vulnerabilità nelle CPU Intel potrebbe consentire di superare tutti i controlli di sicurezza nelle comunicazioni dati che avvengono da processo a processo, da modalità utente a modalità kernel e da modalità guest-mode a modalità root.
La conseguenza delle istruzioni malevoli iniettate nella microarchitettura delle CPU è che un utente con meno privilegi potrebbe far trapelare informazioni sensibili provenienti da un utente con più privilegi o da un differente ambiente virtualizzato bypassando l’hypervisor, cioè le misure di sicurezza a livello di chip o di microcodice.
È evidente che le informazioni rubate dai criminal hacker potrebbero contenere dati di funzionamento relativi al sistema operativo, chiavi crittografiche e password archiviate in memoria.
Nei casi più gravi, l’eventuale sfruttamento con successo delle vulnerabilità potrebbe consentire ad un aggressore di prendere un controllo significativo del server (o dell’endpoint) vulnerabile e dei dati memorizzati su di esso.
I consigli per mitigare il rischio
Come dicevamo, i ricercatori di sicurezza Bitdefender hanno avvertito Intel dell’esistenza della nuova vulnerabilità nelle sue CPU già lo scorso 10 febbraio prima della divulgazione pubblica. La stessa Intel ha poi riconosciuto il problema di sicurezza il successivo 25 febbraio.
Al momento, precedenti soluzioni di mitigazione già adottate per risolvere altre vulnerabilità scoperte nelle CPU Intel (Meltdown, Spectre e MDS) non risultano essere sufficienti.
L’unico modo per rimuovere completamente la vulnerabilità consiste nel sostituire l’hardware o nel disabilitare le funzionalità che forniscono elevate prestazioni ai sistemi in cui sono installate le CPU Intel, come l’Hyper-threading.
Si tratta, evidentemente, di meccanismi di mitigazione non solo onerosi da un punto di vista economico, ma anche complessi da mettere in pratica. Basti pensare, infatti, che la tecnologia Hyper-threading consente di ottenere performance superiori del 30% nei benchmark di applicazioni server più comuni ottimizzate per questa particolare tecnologia.
I ricercatori Bitdefender raccomandano, quindi, di completare le seguenti 3 azioni urgenti che devono essere intraprese dal reparto IT di qualsiasi azienda che utilizza questi processori:
- installare le patch (microcodice, sistema operativo, hypervisor) non appena sono disponibili;
- installare una soluzione di sicurezza che fornisca visibilità e contesto a livello di hypervisor;
- verificare i sistemi critici per identificare eventuali segni di intrusione, se possibile.
Articolo pubblicato in data 10 febbraio 2020 e aggiornato in seguito al rilascio della patch ufficiale da parte di Intel.
