Attacchi LVI ai processori Intel: complessi da sferrare ma impossibili da rilevare

• Intel

Alcuni ricercatori esperti di sicurezza informatica hanno scoperto quello che sembra un nuovo “filone” di vulnerabilità nei processori Intel. Battezzati nel loro complesso LVI (Load Value Injection), le nuove modalità di attacco permettono di alterare la normale esecuzione dei programmi allo scopo di rubare dati che normalmente sono destinati a rimanere privati all’interno delle enclavi SGX (Software Guard Extensions) integrate a livello di CPU.
Le informazioni sensibili che possono essere sottratte comprendono, ad esempio, password, chiavi private utilizzate per la crittografia dei dati e la gestione dei certificati digitali, informazioni riservate e altro ancora.

Ed è proprio per questo motivo che, stando a fonti vicine all’azienda di Santa Clara, Intel attiverà la crittografia completa della RAM nelle prossime CPU.

Secondo gli esperti, gli attacchi LVI – documentati in questo sito web – squasserebbero il quadro attuale e permetterebbero di superare le patch applicate per porre un freno ad attacchi side channel come i già noti Meltdown, Foreshadow, ZombieLoad, RIDL e Fallout.
Con LVI viene usato un approccio nuovo, documentato nell’animazione che segue.

In questo bollettino Intel conferma che gli attacchi LVI interessano le famiglie di processori a partire da Skylake con supporto SGX.
I processori Core della famiglia Ice Lake non sono interessati da LVI mentre i processori protetti nei confronti degli attacchi Meltdown sono marginalmente affetti dal problema.

Nel caso di LVI, anche se è possibile implementare delle mitigazioni a livello software, la causa alla base degli attacchi non può essere sanata in questo modo. Ciò significa che le nuove CPU dovranno essere dotate di correzioni a livello hardware.

Sia Intel che gli esperti tengono comunque a evidenziare che gli attacchi LVI non sono semplici da sferrare. “Non si tratta di un attacco di malware ordinario che si potrebbe usare, ad esempio, contro gli utenti domestici“, ha osservato Bogdan Botezatu, direttore della ricerca presso Bitdefender. “Si tratta di strumenti che potrebbero utilizzare solamente criminali informatici ben finanziati da enti governativi o gruppi dediti ad attività di spionaggio aziendale per bersagliare obiettivi di alto profilo e sottrarre dati da infrastrutture vulnerabili di tipo mission-critical“.

Ciò premesso, Botezatu prosegue commentando che sebbene l’attacco sia complesso da orchestrare, “esso sarebbe comunque impossibile da rilevare e bloccare con le soluzioni di sicurezza esistenti o con altri sistemi di rilevamento delle intrusioni e non lascerebbe dietro di sé alcuna prova“. A nulla varrebbe quindi eventuali tentativi di analisi forense.

I portavoce di Intel hanno fatto presente che: “a causa dei numerosi e complessi requisiti che devono essere soddisfatti per poter eseguire con successo gli attacchi LVI, Intel non crede si tratti di metodi sfruttabili all’atto pratico in ambienti reali. Nuove linee guida e strumenti di mitigazione per LVI sono ora disponibili: essi lavorano in combinazione con le mitigazioni precedentemente rilasciate e riducono significativamente la superficie di attacco. Ringraziamo i ricercatori che hanno lavorato con noi e i nostri partner“.

Le nuove vulnerabilità, alle quali è stato assegnato l’identificativo CVE-2020-0551, sono state scoperte e segnalate a Intel il 4 aprile 2019 dai ricercatori del Worcester Polytechnic Institute, imec-DistriNet/KU Leuven, Graz University of Technology, University of Michigan, University of Adelaide e Data61. Più di recente, i tecnici di Bitdefender hanno portato a galla in modo indipendente una variante dell’attacco (LVI-LFB) segnalandola privatamente a Intel durante il mese di febbraio scorso.