Buon anno! Mercoledì (3 gennaio) sono state rivelate tre enormi falle di sicurezza in Intel, AMD, ARM e altri processori. Microsoft ha rilasciato una patch di emergenza per tutte le versioni supportate di Windows, inclusi Windows 7, Windows 8.1 e Windows 10, ma ha aggiunto che gli utenti dovrebbero anche applicare gli aggiornamenti del firmware quando diventano disponibili dai produttori di dispositivi. Google ha corretto il difetto di Android con l'aggiornamento gennaio 2022-2023, rilasciato martedì (2 gennaio), anche se per ora solo i dispositivi gestiti da Google lo hanno. Le patch per macOS, iOS e Linux potrebbero non essere ancora completamente disponibili.
Due attacchi proof-of-concept, soprannominati "Meltdown" e "Spectre", sfruttano questi tre difetti, che riguardano il modo in cui i moderni processori dei computer gestiscono la memoria in esecuzione delle applicazioni e il sistema principale, o kernel, sui sistemi operativi attuali.
"Meltdown e Spectre funzionano su personal computer, dispositivi mobili e nel cloud", affermano i siti Web dedicati a ciascun difetto, che hanno contenuti identici. "A seconda dell'infrastruttura del provider cloud, potrebbe essere possibile rubare dati da altri clienti".
Un post sul blog di Google ha spiegato che i difetti hanno reso possibile che "una parte non autorizzata possa leggere informazioni sensibili nella memoria del sistema come password, chiavi di crittografia o informazioni riservate aperte nelle applicazioni".
Meltdown cancella i confini tra i processi del kernel e i processi utente e sembra essere limitato ai chip Intel. Spectre ruba i dati dalle applicazioni in esecuzione e funziona anche su chip AMD e ARM. I siti web di Spectre e Meltdown non hanno specificato in che modo sono stati interessati i vari chipset utilizzati sui dispositivi mobili.
AMD, tuttavia, ha negato di essere stata interessata da uno qualsiasi dei difetti.
"AMD non è suscettibile a tutte e tre le varianti", ha detto la società alla CNBC. "A causa delle differenze nell'architettura di AMD, riteniamo che in questo momento ci sia un rischio vicino allo zero per i processori AMD".
Cosa fare
Se utilizzi Windows 7, 8.1 o 10, dovresti applicare l'aggiornamento per la sicurezza di Windows rilasciato oggi. Le prime versioni delle patch sono state inviate agli utenti di Windows Insider a novembre e dicembre.
"Stiamo implementando mitigazioni ai servizi cloud e stiamo rilasciando aggiornamenti di sicurezza oggi per proteggere i clienti Windows dalle vulnerabilità che interessano i chip hardware supportati da AMD, ARM e Intel", ha affermato in parte una dichiarazione Microsoft che ci è stata fornita. "Non abbiamo ricevuto alcuna informazione che indichi che queste vulnerabilità siano state utilizzate per attaccare i nostri clienti".
Tuttavia, ci sono un paio di catture. Innanzitutto, a meno che tu non stia utilizzando un laptop o tablet fornito da Microsoft come Surface, Surface Pro o Surface Book, dovrai anche applicare un aggiornamento del firmware dal produttore del tuo computer.
"I clienti che installano solo gli aggiornamenti di sicurezza di Windows gennaio 2022-2023 non riceveranno il vantaggio di tutte le protezioni note contro le vulnerabilità", ha affermato un documento di supporto Microsoft pubblicato online. "Oltre all'installazione degli aggiornamenti di sicurezza di gennaio, è necessario un microcodice del processore o un aggiornamento del firmware. Questo dovrebbe essere disponibile tramite il produttore del dispositivo. I clienti Surface riceveranno un aggiornamento del microcodice tramite l'aggiornamento di Windows."
In secondo luogo, Microsoft insiste affinché i clienti si assicurino di avere un software antivirus "supportato" in esecuzione prima di applicare la patch. In un documento separato che spiega la nuova patch di sicurezza, Microsoft afferma che solo le macchine che eseguono tale software riceveranno automaticamente la patch.
Non è chiaro esattamente cosa intenda Microsoft per software antivirus "supportato" o perché Microsoft insista sul fatto che tale software dovrebbe essere sulla macchina prima che venga applicata la patch. C'è un collegamento a un documento che dovrebbe spiegare tutto questo, ma mentre scrivo mercoledì sera tardi, il collegamento non è andato da nessuna parte.
Infine, Microsoft ammette che ci sono "potenziali impatti sulle prestazioni" associati alle patch. In altre parole, dopo aver applicato le patch, la macchina potrebbe funzionare più lentamente.
"Per la maggior parte dei dispositivi consumer, l'impatto potrebbe non essere evidente", afferma l'advisory. "Tuttavia, l'impatto specifico varia in base alla generazione dell'hardware e all'implementazione da parte del produttore del chip".
Per eseguire manualmente Windows Update, fai clic sul pulsante Start, fai clic sull'icona a forma di ingranaggio Impostazioni, fai clic su Aggiornamenti e sicurezza e fai clic su Verifica aggiornamenti.
Gli utenti Apple dovrebbero installare gli aggiornamenti futuri facendo clic sull'icona Apple, selezionando App Store, facendo clic su Aggiornamenti e facendo clic su Aggiorna accanto a qualsiasi elemento di Apple. C'era un rapporto non confermato su Twitter secondo cui Apple aveva già corretto i difetti con macOS 10.13.2 all'inizio di dicembre, ma i numeri ID di vulnerabilità (CVE) coperti nelle patch Apple di dicembre non corrispondono a quelli assegnati a Meltdown e Spectre.
Anche le macchine Linux richiederanno patch e sembra che qualcosa possa essere quasi pronto. Come accennato in precedenza, la patch di sicurezza Android gennaio 2022-2023 corregge il difetto, anche se per ora solo una piccola percentuale di dispositivi Android la riceverà. (Non è chiaro quanti dispositivi Android siano sensibili.)
Come funzionano gli attacchi
L'attacco Meltdown, che per quanto ne sanno i ricercatori colpisce solo i chip Intel sviluppati dal 1995 (eccetto la linea Itanium e la linea Atom pre-2013), consente ai programmi regolari di accedere alle informazioni di sistema che dovrebbero essere protette. Queste informazioni sono memorizzate nel kernel, il centro profondamente incassato del sistema a cui le operazioni dell'utente non dovrebbero mai avvicinarsi.
"Meltdown rompe l'isolamento più fondamentale tra le applicazioni utente e il sistema operativo", hanno spiegato i siti Web Meltdown e Spectre. "Questo attacco consente a un programma di accedere alla memoria, e quindi anche ai segreti, di altri programmi e del sistema operativo."
"Se il tuo computer ha un processore vulnerabile ed esegue un sistema operativo senza patch, non è sicuro lavorare con informazioni sensibili senza la possibilità di trapelare le informazioni".
Meltdown è stato chiamato così perché "fondamentalmente scioglie i confini di sicurezza che sono normalmente applicati dall'hardware".
Per correggere il difetto associato, la memoria del kernel dovrebbe essere ancora più isolata dai processi utente, ma c'è un problema. Sembra che il difetto esista in parte perché la condivisione della memoria tra il kernel e i processi utente consente ai sistemi di funzionare più rapidamente e l'interruzione di tale condivisione potrebbe ridurre le prestazioni della CPU.
Alcuni rapporti hanno affermato che le correzioni potrebbero rallentare i sistemi fino al 30%. I nostri colleghi di Tom's Hardware pensano che l'impatto sulle prestazioni del sistema sarebbe molto minore.
Spectre, d'altra parte, è universale e "rompe l'isolamento tra le diverse applicazioni", affermano i siti web. "Consente a un utente malintenzionato di ingannare i programmi privi di errori, che seguono le migliori pratiche, per far trapelare i loro segreti. In effetti, i controlli di sicurezza di tali migliori pratiche aumentano effettivamente la superficie di attacco e possono rendere le applicazioni più suscettibili a Spectre".
"Tutti i processori moderni in grado di mantenere molte istruzioni in volo sono potenzialmente vulnerabili" a Spectre. "In particolare, abbiamo verificato Spectre su processori Intel, AMD e ARM".
I siti continuano spiegando che il rilevamento di tali attacchi sarebbe quasi impossibile e che il software antivirus potrebbe rilevare solo il malware che è entrato nel sistema prima di lanciare gli attacchi. Dicono che Spectre sia più difficile da portare a termine rispetto a Meltdown, ma che non c'erano prove che attacchi simili fossero stati lanciati "in natura".
Tuttavia, hanno affermato che Spectre, così chiamato perché abusa dell'esecuzione speculativa, un comune processo di chipset, "ci perseguiterà per un bel po' di tempo".
L'arte perduta di mantenere un segreto
Intel, AMD e ARM sono state informate da Google di questi difetti nel giugno 2022-2023 e tutte le parti coinvolte hanno cercato di mantenere il silenzio fino a quando le patch non erano pronte la prossima settimana. Ma gli esperti di sicurezza delle informazioni che non erano al corrente del segreto potevano dire che stava arrivando qualcosa di grosso.
Le discussioni nei forum di sviluppo di Linux riguardavano revisioni radicali alla gestione della memoria del kernel da parte del sistema operativo, ma non sono stati divulgati dettagli. Persone con indirizzi e-mail Microsoft, Amazon e Google sono state misteriosamente coinvolte. Insolitamente, le revisioni dovevano essere riportate su diverse versioni precedenti di Linux, indicando che un grave problema di sicurezza veniva risolto.
Ciò ha scatenato un paio di giorni di teorie del complotto su Reddit e 4chan. Lunedì (1 gennaio), un blogger che si fa chiamare Python Sweetness "ha collegato i punti invisibili" in un lungo post che descriveva in dettaglio diversi sviluppi paralleli tra gli sviluppatori Windows e Linux riguardo alla gestione della memoria del kernel.
Martedì tardi (2 gennaio). Il Registro ha aggregato molte informazioni simili. Ha anche notato che Amazon Web Services eseguirà la manutenzione e riavvierà i suoi server cloud il prossimo venerdì sera (5 gennaio). e che Azure Cloud di Microsoft aveva pianificato qualcosa di simile per il 10 gennaio.
La diga si è rotta mercoledì quando un ricercatore di sicurezza olandese ha twittato di aver creato un bug proof-of-concept che sembrava sfruttare almeno uno dei difetti.
Alle 3 del pomeriggio. Mercoledì EST, Intel, che aveva visto il suo titolo crollare di circa il 10 percento negli scambi di quel giorno, ha emesso un comunicato stampa che ha minimizzato i difetti e di conseguenza il suo titolo ha riguadagnato terreno. Ma la società ha ammesso che i difetti potrebbero essere utilizzati per rubare dati e che lui e altri produttori di chip stavano lavorando per risolvere il problema.
"Intel e altri fornitori avevano pianificato di rivelare questo problema la prossima settimana quando saranno disponibili ulteriori aggiornamenti software e firmware", afferma la dichiarazione. "Tuttavia, Intel sta facendo questa dichiarazione oggi a causa degli attuali resoconti dei media imprecisi".
Alle 17:00, Daniel Gruss, uno studente post-dottorato in sicurezza informatica presso l'Università tecnica di Graz in Austria, si è fatto avanti per annunciare Meltdown e Spectre. Ha detto a Zack Whittaker di ZDNet che "quasi tutti i sistemi" basati su chip Intel dal 1995 erano affetti da difetti. Si è scoperto che il problema era ancora peggiore.
Gruss è stato uno dei sette ricercatori di Graz che nell'ottobre 2022-2023 hanno pubblicato un documento tecnico che descriveva in dettaglio i difetti teorici nel modo in cui Linux gestiva la memoria del kernel e proponeva una soluzione. Python Sweetness, il blogger pseudonimo a cui si fa riferimento all'inizio di questa storia, aveva apparentemente ragione nel supporre che quel documento fosse fondamentale per il difetto di Intel su cui si sta lavorando ora.
Alle 18:00 EST, i siti Spectre e Meltdown sono stati pubblicati, insieme a un post sul blog di Google che descriveva in dettaglio la ricerca di quell'azienda. Si è scoperto che due squadre avevano scoperto indipendentemente Meltdown e tre diverse squadre avevano trovato Spectre contemporaneamente. Project Zero di Google e il team di Gruss a Graz hanno contribuito a entrambi.
Credito immagine: Natascha Eidl/dominio pubblico
- 12 errori di sicurezza informatica che probabilmente stai commettendo
- La migliore protezione antivirus per PC, Mac e Android
- La sicurezza del tuo router puzza: ecco come risolverlo