Meltdown e Spectre non sono rimaste le uniche vulnerabilità scoperte, che colpiscono i processori moderni: nel frattempo c’è stato anche Foreshadow e ora sono state individuate due varianti di ZombieLoad, ulteriore attacco che minaccia i nostri dati, anche quelli più sensibili e che mai dovrebbero cadere nelle mani di malintenzionati.
Tra l’altro, alcuni dei ricercatori che hanno individuato ZombieLoad e la nuova variante, erano coinvolti già nella scoperta di Meltdown.
I riflettori su ZombieLoad (nella prima versione) si sono accesi a maggio di quest’anno, quando veniva resa nota questa nuova tipologia di attacchi side-channel alle CPU. Ora il gruppo di ricercatori ha comunicato pubblicamente l’esistenza di una seconda variante dell’attacco.
ZombieLoad Variant 2 è stato scoperto il 23 aprile 2019 e i ricercatori il 10 maggio 2019 hanno informato Intel della vulnerabilità a questo attacco delle Cpu Cascade Lake. Essendo la seconda variante stata stata messa sotto embargo, hanno informato ancora i ricercatori, non è stata pubblicata insieme alla versione precedente, a maggio.
Con la Variant 2 dell’attacco, o Transactional Asynchronous Abort (TAA), è ancora possibile che i dati possano subire leak, su microarchitetture come Cascade Lake, anche laddove non sono possibili altri attacchi MDS (Microarchitectural Data Sampling), come RIDL o Fallout. Infatti, le ricerche effettuate dal gruppo di esperti mostrano che le mitigazioni basate sul software in combinazione con gli aggiornamenti del microcodice, implementati come contromisure contro gli attacchi MDS, non sono sufficienti a contrastare questa nuova versione della minaccia.
Il rischio sta ancora nel fatto che, se normalmente i programmi possono vedere solo i propri dati, un’applicazione malevola potrebbe sfruttare i buffer interni della CPU per accedere ai dati elaborati da altri programmi in esecuzione. Questi dati potrebbero essere relativi all’utente, e anche di tipo riservato e sensibile, come ad esempio la cronologia del browser, password, contenuti privati e altro; e possono essere anche informazioni delicate a livello di sistema, come ad esempio le chiavi di crittografia del disco.
Ogni tipo di computer può essere oggetto di attacco: desktop, notebook e cloud. Non è al momento dato sapere, però, se attacchi di questo tipo sono stati effettivamente messi in pratica con successo.
Come altri attacchi i questo tipo, non si tratta di bug software ma di bug a livello di processore: un fix completo può essere integrato solo in nuove versioni dei processori, ma aggiornamenti software possono alleviarli e aggirarli.
Cosa fare contro ZombieLoad 2
I ricercatori dunque consigliano di verificare sempre la disponibilità di update di sicurezza per il sistema operativo utilizzato. Ad esempio Microsoft ha già rilasciato dei security update che mitigano la “Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135)”.
I riferimenti ufficiali CVE (Common Vulnerabilities and Exposures, lo Standard di Information Security Vulnerability Names mantenuto da MITRE) sono: CVE-2018-12130 per ZombieLoad e CVE-2019-11135 per la versione Variant 2 (TAA).
Del Transactional Asynchronous Abort CVE-2019-11135 ha parlato anche Intel, riguardo all’estensione TSX (Transactional Synchronization Extensions), che soffre di questa vulnerabilità, e l’azienda dedica anche una pagina alle ultime vulnerabilità side-channel.
ZombieLoad è stato scoperto da Michael Schwarz, Moritz Lipp, Daniel Gruss (della Graz University of Technology) e Jo Van Bulck (dell’imec-DistriNet, KU Leuven).
