Apa itu Foreshadow?
Secara khusus, Foreshadow menyerang fitur Intel® Software Guard Extensions (SGX). Ini dibangun ke dalam chip Intel untuk memungkinkan program membuat "kantong" aman yang tidak dapat diakses, bahkan oleh program lain di komputer. Bahkan jika malware ada di komputer, ia tidak dapat mengakses kantong aman - dalam teori. Ketika Spectre and Meltdown diumumkan, para peneliti keamanan menemukan bahwa memori yang dilindungi SGX sebagian besar kebal terhadap momok dan serangan Meltdown.
Ada juga dua serangan terkait, yang oleh peneliti keamanan disebut "Foreshadow - Next Generation," atau Foreshadow-NG. Ini memungkinkan akses ke informasi di System Management Mode (SMM), kernel sistem operasi, atau hypervisor mesin virtual. Secara teori, kode yang berjalan dalam satu mesin virtual pada suatu sistem dapat membaca informasi yang disimpan di mesin virtual lain pada sistem, meskipun mesin virtual tersebut seharusnya benar-benar terisolasi.
Foreshadow dan Foreshadow-NG, seperti Spectre and Meltdown, menggunakan kekurangan dalam eksekusi spekulatif. Prosesor modern menebak kode yang mereka pikir mungkin berjalan berikutnya dan menjalankannya secara lebih dini untuk menghemat waktu. Jika sebuah program mencoba menjalankan kode, hebat - itu sudah dilakukan, dan prosesor tahu hasilnya. Jika tidak, prosesor dapat membuang hasilnya.
Namun, eksekusi spekulatif ini meninggalkan beberapa informasi di belakang. Misalnya, berdasarkan berapa lama proses eksekusi spekulatif dilakukan untuk melakukan jenis permintaan tertentu, program dapat menyimpulkan data apa yang ada di area memori - bahkan jika mereka tidak dapat mengakses area memori tersebut. Karena program jahat dapat menggunakan teknik ini untuk membaca memori yang dilindungi, mereka bahkan dapat mengakses data yang disimpan di cache L1. Ini adalah memori level rendah pada CPU tempat kunci kriptografi yang aman disimpan. Itu sebabnya serangan ini juga dikenal sebagai "L1 Terminal Fault" atau L1TF.
Untuk memanfaatkan Foreshadow, penyerang hanya perlu dapat menjalankan kode di komputer Anda. Kode tidak memerlukan izin khusus - itu bisa berupa program pengguna standar tanpa akses sistem tingkat rendah, atau bahkan perangkat lunak yang berjalan di dalam mesin virtual.
Sejak pengumuman Spectre and Meltdown, kami telah melihat aliran serangan yang menyalahgunakan fungsi eksekusi spekulatif. Sebagai contoh, serangan Speculative Store Bypass (SSB) mempengaruhi prosesor dari Intel dan AMD, serta beberapa prosesor ARM. Itu diumumkan pada Mei 2018.
Apakah Foreshadow Dipakai di Alam Liar?
Foreshadow ditemukan oleh para peneliti keamanan. Para peneliti ini memiliki bukti-konsep - dengan kata lain, serangan fungsional - tetapi mereka tidak melepaskannya saat ini. Ini memberi setiap orang waktu untuk membuat, melepaskan, dan menerapkan tambalan untuk melindungi dari serangan.
Bagaimana Anda Dapat Melindungi PC Anda
Kebanyakan PC Windows hanya perlu pembaruan sistem operasi untuk melindungi diri dari Foreshadow, menurut penasihat keamanan resmi Microsoft. Cukup jalankan Pembaruan Windows untuk menginstal tambalan terbaru. Microsoft mengatakan belum menemukan hilangnya kinerja karena menginstal patch ini.
Beberapa PC mungkin juga membutuhkan mikrokode Intel baru untuk melindungi diri mereka sendiri. Intel mengatakan ini adalah pembaruan microcode yang sama yang dirilis awal tahun ini. Anda bisa mendapatkan firmware baru, jika itu tersedia untuk PC Anda, dengan menginstal pembaruan UEFI atau BIOS terbaru dari PC atau pabrikan motherboard Anda. Anda juga dapat menginstal pembaruan mikrokode langsung dari Microsoft.
Apa yang Perlu Diketahui oleh Sistem Administrator
PC yang menjalankan perangkat lunak hypervisor untuk mesin virtual (misalnya, Hyper-V) juga akan memerlukan pembaruan untuk perangkat lunak hypervisor tersebut. Sebagai contoh, selain pembaruan Microsoft untuk Hyper-V, VMWare telah merilis pembaruan untuk perangkat lunak mesin virtualnya.
Sistem yang menggunakan Hyper-V atau keamanan berbasis virtualisasi mungkin memerlukan perubahan yang lebih drastis. Ini termasuk menonaktifkan hyper-threading, yang akan memperlambat komputer. Kebanyakan orang tidak perlu melakukan ini, tetapi administrator Windows Server yang menjalankan Hyper-V pada CPU Intel perlu mempertimbangkan untuk menonaktifkan hyper-threading di BIOS sistem agar menjaga mesin virtual mereka tetap aman.
Penyedia Cloud seperti Microsoft Azure dan Amazon Web Services juga menambal sistem mereka untuk melindungi mesin virtual pada sistem bersama dari serangan.
Patch mungkin diperlukan untuk sistem operasi lain juga. Sebagai contoh, Ubuntu telah merilis pembaruan kernel Linux untuk melindungi dari serangan-serangan ini. Apple belum mengomentari serangan ini.
Secara khusus, nomor CVE yang mengidentifikasi kekurangan ini adalah CVE-2018-3615 untuk serangan terhadap Intel SGX, CVE-2018-3620 untuk serangan pada sistem operasi dan Mode Manajemen Sistem, dan CVE-2018-3646 untuk serangan pada manajer mesin virtual.
Dalam posting blog, Intel mengatakan itu bekerja pada solusi yang lebih baik untuk meningkatkan kinerja sambil memblokir eksploitasi berbasis L1TF. Solusi ini akan menerapkan perlindungan hanya bila diperlukan, meningkatkan kinerja.Intel mengatakan bahwa sudah disediakan mikrokode CPU pra-rilis dengan fitur ini untuk beberapa mitra dan sedang mengevaluasi untuk melepaskannya.
Akhirnya, Intel mencatat bahwa "L1TF juga ditangani oleh perubahan yang kami buat pada tingkat perangkat keras." Dengan kata lain, CPU Intel masa depan akan berisi perbaikan perangkat keras untuk perlindungan yang lebih baik terhadap Spectre, Meltdown, Foreshadow, dan serangan berbasis spekulatif lainnya dengan lebih sedikit kehilangan kinerja.
