“ZombieLoad” è il nome dato all’ennesima vulnerabilità individuata nei chip Intel con la quale – teoricamente – potrebbe essere possibile rubare informazioni sensibili direttamente dal processore.
La falla, spiega TechCrunch – ricorda per molti versi Meltdown e Spectre, due problemi di sicurezza che riguardano tutti i processori moderni e interessano quasi tutti i dispositivi informatici e i sistemi operativi.
Al pari delle già citate vulnerabilità Meltdown e Spectre, anche ZombieLoad sfrutta una caratteristica delle prestazioni delle moderne CPU denominata “esecuzione speculativa”.
L’esecuzione speculativa aumenta la velocità agendo su più istruzioni contemporaneamente, anche in ordine diverso rispetto a quello di immissione nella CPU. Per migliorare le prestazioni, la CPU prevede quale percorso di una diramazione ha maggiori probabilità di essere seguito e continua l’esecuzione in modalità speculativa lungo tale percorso, anche prima che la diramazione venga completata. Se la previsione si rivela errata, l’esecuzione speculativa viene annullata in un modo progettato per essere invisibile al software.
Le tecniche di exploit di varie vulnerabilità recentemente scoperte utilizzano in modo improprio l’esecuzione speculativa per accedere alla memoria privilegiata, inclusa quella del kernel, da un processo utente con meno privilegi, come un’app dannosa in esecuzione su un dispositivo.
ZombieLoad è un attacco side-channel (o “a canale laterale”) che sfrutta caratteristiche implementative di componenti hardware e software per ottenere informazioni di norma non accessibili, che potrebbero consentire di compromettere la sicurezza di un dispositivo o di un sistema.
I ricercatori riferiscono che a essere colpite dal problema sono tutte le CPU prodotte dal 2011 in poi. I chip di AMD e ARM non sono vulnerabili a quest’ultimo tipo di attacco side-channel.
Il nome dato a questa vulnerabilità prende il nome da “zombie load”, un carico di dati che il processore non è in grado di comprendere o al quale non è in grado di accedere adeguatamente, oberando di richieste che richiamano il microcodice (un set di istruzioni a basso livello che controllano direttamente il microprocessore), in altre parole dal livello della logica digitale della CPU.
A grandi linee, le app normalmente dovrebbero essere in grado di vedere solo i dati con i quali hanno a che fare direttamente ma questo bug consente di sconfinare oltre la “cinta muraria” virtuale nel quale sono confinate le istruzioni ed è dunque potenzialmente in grado di permettere accesso ad aree di memoria normalmente non accessibili. Intel rifedisce che patch per il microcodice permetteranno di ripulire determinate aree, impedendo la lettura indesiderata dei dati.
Un libro bianco con dettagli specifici (PDF) è stato realizzato dai ricercatori che hanno scoperto la nuova vulnerabilità (alcuni di queati hanno lavorato su Spectre e Meltdown). Al momento non sono noti casi di utilizzo reale della vulnerabilità.
Apple ha risolto il problema con specifiche patch integrate nell’update a macOS 10.14.5 e gli altri update di sicurezza rilasciati ieri per i precedenti sistemi (High Sierra e Sierra). Queste patch includono – dove possibile – l’aggiornamento del microcodice per i processori Intel. Il produttore di CPU riferisce di un possibile impatto in termini di performance ma queste dovrebbero essere non rilevanti. Apple spiega in un documento di supporto di avere, tra l’altro, predisposto meccanismi di protezione per vulnerabilità che potevano essere attivate con JavaScript in Safari.
Se non lo avete ancora fatto, aggiornate il sistema operativo. Gli ultimi update per macOS integrano diversi fix di sicurezza che risolvono numerose vulnerabilità in macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14.4. Come spiegato sopra, lo sfruttamento delle più gravi tra queste vulnerabilità potrebbe consentire a un attaccante di accedere ad aree di memoria protette, ottenere privilegi elevati, eseguire codice arbitrario sul sistema o provocare quelle che in gergo si chiamano “condizioni denial of service”. iPhone, iPad e Apple Watch NON sono interessati dai bug.
Apple ha pubblicato un documento che spiega come mitigare potenziali problemi dovuti a.le vulnerabilità raccolte sotto l’etichetta di “Microarchitectural Data Sampling” (MDS). È in pratica possibile disattivare l’hyper-threading del processore ma è sconsigliabile farlo poiché questo comporta un decadimento delle prestazioni che può arrivare fino al 40% in termini di performance.
