FONDAMENTALE TENERE I SISTEMI SEMPRE AGGIORNATI!!
È notizia di questi giorni, e se ne sta parlando molto anche sui giornali e ai Tg nazionali, di gravi vulnerabilità, le più gravi di sempre, presenti nelle CPU (Central Processing Unit – dette più comunemente Processori) ossia le unità centrali di elaborazione dei computer e dei dispositivi mobili che utilizziamo tutti i giorni.
MELTDOWN e SPECTRE
Le cause di tali vulnerabilità, chiamate Meltdown e Spectre, sembrano derivare dai gravi errori di progettazione delle funzionalità implementate sui processori per aumentare le prestazioni degli stessi attraverso “l’esecuzione speculativa”. Il processore cioè, cerca di indovinare quale di due strade possibili è più probabile che venga presa iniziando ad eseguire le operazioni prima di ricevere le istruzioni, aumentandone quindi le prestazioni generali. Gli errori di progettazione di questa funzionalità compromettono la sicurezza dei sistemi permettendo ad un attaccante di accedere, via software, alle zone di memoria del processore, dove risiedono i dati, anche riservati, degli utenti (password, documenti riservati, etc …) ma in taluni casi anche alla memoria intera.
Tre sono al momento le varianti del problema, di seguito elencate con il relativo codice CVE
(Codice delle vulnerabilità conosciute pubblicamente)
- rogue data cache load (CVE-2017-5754) -> definisce la vulnerabilità Meltdown
- bounds check bypass (CVE-2017-5753) -> definisce la vulnerabilità Spectre
- branch target injection (CVE-2017-5715) -> definisce ancora la vulnerabilità Spectre
I processori Intel prodotti dopo il 1995 (tranne Intel Itanium e Intel Atom prima del 2013) soffrono della vulnerabilità Meltdown (https://meltdownattack.com). Non è però ancora chiaro se lo siano anche le CPU AMD e ARM. Questa falla è stata individuata da tre gruppi di ricercatori, il “Politecnico austriaco di Graz”, la società tedesca di sicurezza informatica “Cyberus Technology” e il “Google Project Zero”. (https://googleprojectzero.blogspot.it/2018/01/reading-privileged-memory-with-side.html)
Tutti i processori AMD, Intel e ARM soffrono invece della vulnerabilità Spectre (https://spectreattack.com).
E’ stata individuata dall’”Università della Pennsylvania” e delle “Maryland”, dal “Politecnico austriaco di Graz”, dal “Project Zero di Google” e altri
NOTE
- Per sfruttare la vulnerabilità Meltdown è sufficiente eseguire anche solo del codice Javascript inserito in una pagina web riuscendo così ad accedere a posizioni di memoria che contengono informazioni riservate. Sfruttare la vulnerabilità Spectre invece è più complesso, gli utenti quindi hanno poche probabilità di essere attaccati da questa. Allo stesso modo però non ci sono molti rimedi per questa problematica.
- Non c’è modo di sapere se un attaccante ha sfruttato le vulnerabilità contro i nostri sistemi in quanto l’eventuale attacco non lascia alcuna traccia.
- Non è facile per l’antivirus / antimalware rilevare questo attacco. Meltdown e Spectre sono difficili da distinguere dalle normali applicazioni benigne. Tuttavia può rilevare il malware che utilizza gli attacchi confrontando i file binari dopo che sono stati conosciuti
- La situazione e i dati che vengono pubblicati relativamente a queste falle sono in continua evoluzione, quindi quanto riportato qui potrebbe subire aggiornamenti futuri.
MITIGATION E UPDATE!
I produttori si stanno già muovendo e per Windows 10 esiste già una patch (KB4056892).
L’installazione di patch sembra rallenti però le prestazioni della macchina tra il 5 e il 30%, penalizzando così soprattutto gli ambienti data-center e virtualizzati che usano il processore intensamente. Per le versioni antecedenti a Windows 10 l’aggiornamento sarà rilasciato da Microsoft il 09 gennaio 2018.
(N.B. Microsoft ha allertato in quest’ultime ore di possibili incompatibilità tra le patch correttive di queste problematiche e alcuni software antivirus. Tutte le info del caso qui .. https://support.microsoft.com/en-us/help/4072699/important-information-regarding-the-windows-security-updates-released )
Invece Apple correggerà la falla con l’aggiornamento di MacOS alla versione 10.13.3
La soluzione per Linux è la funzione KPTI (Kernel Page Table Isolation) che prevede l’esecuzione della funzione Kernel-mode in uno spazio totalmente isolato dalla funzione user-mode dove sono allocati i dati degli utenti. La funzione KPTI sarà inserita nel kernel 4.15 che sostituirà il 4.14.11 chè c’è ora.
Google ha già aggiornato i suoi servizi Cloud e attivato per Chrome 63 la funzione “Site Isolation” (https://support.google.com/chrome/answer/7623121?hl=en) in attesa dell’uscita di Chrome 64 che risolve il problema. Google ha inoltre riferito di aver rilasciato gli aggiornamenti per Android.
E’ previsto comunque l’aggiornamento delle singole applicazioni del computer in modo che le loro informazioni non finiscano nella zona di memoria che può essere letta sfruttando la vulnerabilità.
I produttori si stanno dando da fare per aggiornare applicazioni e sistemi operativi, ora però sta a noi utenti scaricare e aggiornare tutti i sistemi che abbiamo, compresi gli smartphone e dispositivi IoT.
Recentemente lo US Computer Emergency Response Team ha pubblicato un bollettino dove afferma che l’unica soluzione totalmente sicura per risolvere queste problematiche è cambiare la CPU (https://www.kb.cert.org/vuls/id/584653).
Qui invece lo stesso US-CERT ha pubblicato una guida alle due vulnerabilità inserendo anche un’utile tabella che contiene l’elenco aggiornato periodicamente delle informazioni e updates dei singoli Vendor
(https://www.us-cert.gov/ncas/alerts/TA18-004A).
Trend Micro sta completando alcune patch che renderanno i propri software compatibili con gli aggiornamenti che verranno rilasciati per risolvere queste vulnerabilità. Seguiranno pertanto ulteriori aggiornamenti in merito a queste problematiche.
RICORDIAMOCI CHE AL DI LA DI QUESTA VULNERABILITA’, TENERE SEMPRE I SISTEMI AGGIORNATI È UNA BUONA ABITUDINE PER NON AVERE BRUTTE SORPRESE.