Otkriven ogromni bezbednosni propust u gotovo svim Intel-ovim procesorima

Na britanskom tech portalu The Register prekjuče je objavljen poveći tekst o otkrivanju velikog bezbednosnog propusta u dizajnu svih modernih Intel-ovih procesora odnosno svih proizvedenih u poslednjih desetak godina. Na softverskom krpljenju problema trenutno rade razvojni inženjeri Linux i Windows kernela, ali zakrpe će zbog svoje sveobuhvatnosti po svemu sudeći izazvati solidan pad performansi - između 5 i 30 posto, zavisno o korišćenoj aplikaciji i tipu odnosno generaciji procesora.

Kako piše Register, kada god neka aplikacija želi da izvrši zadatak kao što je pisanje u datoteku ili otvaranje mrežne konekcije, mora prepustiti kontrolu nad procesorom kernelu odnosno jezgru operativnog sistema. Kako bi prelazak iz korisničkog u kernel način rada bio što brži i efikasniji, kernel je prisutan u virtuelnom memorijskom prostoru svakog procesa, ali istovremeno je skriven od tih procesa zbog bezbednosti. Set bezbednosnih nadogradnji za Linux trenutno poznatih pod imenom KPTI odnosno Kernel Page Table Isolation u potpunosti odvaja adresni prostor kernela od adresnog prostora korisničke aplikacije što rešava bezbednosni problem, ali negativno utiče na performanse.

Cela priča postoje još zanimljivija nakon službene objave AMD-a da njihovi procesori nisu pogođeni ovim problemom. AMD-ov inženjer Tom Lendacky piše:

"AMD processors are not subject to the types of attacks that the kernel page table isolation feature protects against. The AMD microarchitecture does not allow memory references, including speculative references, that access higher privileged data when running in a lesser privileged mode when that access would result in a page fault. Disable page table isolation by default on AMD processors by not setting the X86_BUG_CPU_INSECURE feature, which controls whether X86_FEATURE_PTI is set."

Ključan termin ovde je "speculative memory references". Naime, moderni procesori često pribegavaju špekulativnom dohvatanju koda kako bi održali maksimalno napunjen instrukcijski cevovod odnosno kako bi izvršne jedinice procesora što efikasnije radile. Iz gornjeg teksta dalo bi se naslutiti da bi bilo moguće napraviti softver koji na ovaj način čita skrivene delove memorije odnosno memoriju kernela.

Da je problem dosta ozbiljan može se naslutiti po skrivanju detalja problema te hitnim bezbednosnim nadogradnjama koje stižu na sve pogođene operativne sisteme, uključujući i one koji se vrte u cloudu. Microsoft upozorava korisnike Azure Cloud-a da 10. januara očekuju veliku bezbednosnu nadogradnju sistema koja zahteva resentovanje virtuelnih mašina. Resetovanje odnosno isključivanje virtuelnih servera nužno jer se zbog softverskih nadogradnji moraju resetovati fizički serveri. Isto najavljuje i Amazon korisnicima AWS-a, s tom razlikom da primena nadogradnji i resetovanje servera ide još ranije - 5. januara.

Rasplet ove priče još nije gotov, pogotovo ako softverske zakrpe uzrokuju ovako masivni pad performansi. Kako to obično biva u državama sa funkcionalnim i razvijenim pravnim sistemom, nije isključeno da nakon svega padne i kakva tužba protiv Intel-a.

Kategorija: Bezbednost Hardver widget