Gli scienziati informatici di KU Leuven hanno ancora una volta esposto un difetto di sicurezza nei processori Intel. Jo Van Bulck, Frank Piessen, e i loro colleghi in Austria, gli Stati Uniti, e l'Australia ha concesso al produttore un anno di tempo per risolvere il problema.

Negli ultimi due anni, Intel ha dovuto rilasciare alcune patch per le vulnerabilità che gli scienziati informatici di KU Leuven hanno contribuito a esporre, compreso Plundervolt, Zombieload e prefigurazione. "Tutte le misure che Intel ha adottato finora per aumentare la sicurezza dei suoi processori sono state necessarie, ma non bastarono a scongiurare il nostro nuovo attacco, " afferma Jo Van Bulck del Dipartimento di Informatica presso KU Leuven.

Come i precedenti attacchi, la nuova tecnica, denominata Load Value Injection, si rivolge al "vault" dei sistemi informatici con processori Intel:le enclavi SGX.

"In una certa misura, questo attacco riprende da dove si era interrotto il nostro attacco Foreshadow del 2018. Una versione particolarmente pericolosa di questo attacco ha sfruttato la vulnerabilità delle enclave SGX in modo che le password della vittima, informazioni mediche, o altre informazioni sensibili sono state divulgate all'aggressore. Load Value Injection utilizza la stessa vulnerabilità, ma nella direzione opposta:i dati dell'aggressore vengono introdotti clandestinamente, "iniettati", in un programma software che la vittima esegue sul proprio computer. Una volta fatto ciò, l'attaccante può assumere il controllo dell'intero programma e acquisire informazioni sensibili, come le impronte digitali o le password della vittima".

La vulnerabilità era già stata scoperta il 4 aprile 2019. Tuttavia, i ricercatori e Intel hanno deciso di tenerlo segreto per quasi un anno. Gli embarghi di divulgazione responsabile non sono insoliti quando si tratta di sicurezza informatica, anche se di solito si sollevano dopo un periodo di tempo più breve. "Volevamo dare a Intel abbastanza tempo per risolvere il problema. In alcuni scenari, la vulnerabilità che abbiamo esposto è molto pericolosa ed estremamente difficile da affrontare, perché questa volta, il problema non riguardava solo l'hardware:la soluzione doveva tenere conto anche del software. Perciò, gli aggiornamenti hardware come quelli rilasciati per risolvere i difetti precedenti non erano più sufficienti. Questo è il motivo per cui abbiamo concordato con il produttore un periodo di embargo eccezionalmente lungo".

"Intel ha finito per adottare misure estese che obbligano gli sviluppatori del software dell'enclave SGX ad aggiornare le loro applicazioni. Tuttavia, Intel li ha avvisati in tempo. Gli utenti finali del software non hanno nulla di cui preoccuparsi:devono solo installare gli aggiornamenti consigliati."

"I nostri risultati mostrano, però, che le misure adottate da Intel rendono il software dell'enclave SGX da 2 a 19 volte più lento."

Cosa sono le enclavi SGX?

I sistemi informatici sono costituiti da diversi strati, rendendole molto complesse. Ogni livello contiene anche milioni di righe di codice informatico. Poiché questo codice è ancora scritto manualmente, il rischio di errori è significativo. Se si verifica un tale errore, l'intero sistema informatico è lasciato vulnerabile agli attacchi. Puoi paragonarlo a un grattacielo:se uno dei piani si danneggia, l'intero edificio potrebbe crollare.

I virus sfruttano tali errori per accedere a informazioni sensibili o personali sul computer, dalle foto e password delle vacanze ai segreti aziendali. Al fine di proteggere i loro processori da questo tipo di intrusione, Intel ha introdotto una tecnologia innovativa nel 2015:Intel Software Guard eXtensions (Intel SGX). Questa tecnologia crea ambienti isolati nella memoria del computer, le cosiddette enclavi, dove dati e programmi possono essere utilizzati in sicurezza.

"Se consideri un computer come un grattacielo, le enclavi formano una volta, " spiega il ricercatore Jo Van Bulck. "Anche quando l'edificio crolla, il caveau dovrebbe ancora custodire i suoi segreti, comprese le password o i dati medici."

La tecnologia sembrava a tenuta stagna fino ad agosto 2018, quando i ricercatori della KU Leuven hanno scoperto una violazione. Il loro attacco è stato soprannominato Foreshadow. Nel 2019, l'attacco di Plundervolt ha rivelato un'altra vulnerabilità. Intel ha rilasciato aggiornamenti per risolvere entrambi i difetti.

La vulnerabilità è stata esposta per la prima volta da Jo Van Bulck e Frank Piessens a KU Leuven. I ricercatori hanno anche scritto un articolo sulla loro scoperta, per la quale hanno collaborato con i colleghi della TU Graz (Austria), Worcester Polytechnic Institute e l'Università del Michigan (Stati Uniti), l'Università di Adelaide e Data61 (Australia). A maggio 2020, il documento "LVI:Hijacking Transient Execution through Microarchitectural Load Value Injection" di Jo Van Bulck, Daniele Moghimi, Michele Schwarz, Moritz Lipp, Marina Minkin, Daniel Genkin, Yuval Yarom, Berk Sunar, Daniel Grus, e Frank Piessens saranno presentati all'IEEE Symposium on Security and Privacy.