Nuova vulnerabilità nei processori Intel: ZombieLoad 2

Le performance dei moderni processori vengono migliorate utilizzando, come abbiamo più volte ricordato, la cosiddetta esecuzione speculativa. Essa provvede a caricare le istruzioni in anticipo cercando di stabilire quali salti nel codice verranno verosimilmente seguiti. Nel caso in cui l’ipotesi si rivelasse fondata, le elaborazioni verranno portate a termine più rapidamente altrimenti i dati caricati vengono rimossi.

Una nuova vulnerabilità, riferita proprio all’esecuzione speculativa, è stata rilevata nei processori Intel. Battezzata ZombieLoad 2 o TSX Asynchronous Abort, essa è insita nelle Transactional Synchronization Extensions (TSX), caratteristica propria delle CPU dell’azienda di Santa Clara.

Un aggressore che riuscisse a far leva su questa lacuna di sicurezza potrebbe leggere e sottrarre informazioni dal kernel del sistema operativo e dagli altri processi in esecuzione sulla macchina.

Nel corso del tempo Intel ha rilasciato vari aggiornamenti per il microcodice dei suoi processori riuscendo a contenere la maggior parte delle vulnerabilità legate alla gestione dei meccanismi di esecuzione speculativa (attacchi side-channel).
La nuova versione dell’aggressione ZombieLoad appena venuta a galla, però, permette di superare tutte le difese attualmente in essere e affligge anche la famiglia di CPU Cascade Lake.

Intel ha confermato l’esistenza del problema in TSX spiegando che la simultanea rimozione dei dati conservati in memoria (effettuata per migliorare le prestazioni) può permettere a un processo di accedere ai dati gestiti da altri processi in esecuzione, kernel del sistema operativo compreso. Ed è qui anche anche dati sensibili come chiavi crittografiche, password e altre informazioni importanti potrebbero cadere nelle mani di un’applicazione malevola o di un aggressore.

Una dimostrazione dell’attacco è visionabile nel video che pubblichiamo di seguito:

Come si vede, l’aggressore è in questo caso in grado di appropriarsi delle informazioni gestite da Tails (ad esempio i siti web visitati e le password digitate nei form online con il browser Tor), anche all’interno di una macchina virtuale.

La vulnerabilità in questione è stata per il momento mitigata da Microsoft con il rilascio di un aggiornamento per tutte le versioni di Windows client e server ad oggi supportate.