前兆：投機的実行機能に対する攻撃、Intel SGXを標的化

IntelのSoftware Guard Extensionsの実装における欠陥により、攻撃者は特権昇格することなく、同じホストで実行中の他のアプリケーションに保存されているデータにアクセスできるようになります。

背景

研究者は、Foreshadow (CVE-2018-3615)と呼ばれる投機的な攻撃につながるIntelのSoftware Guard Extensions (SGX)の実装に欠陥を発見しました。加えて、Intelはマイクロプロセッサー、システム管理モード(SMM)、オペレーティングシステム、およびHypervisorソフトウェアに対するForeshahow攻撃を許す変種を発見しました。これらの変種は、Foreshadow-NG (CVE-2018-3620およびCVE-2018-3646)と呼ばれています。

Intelは投機的実行サイドのチャネルの全ての脆弱性をL1 Terminal Faults (L1TF)とラベル付けしました。 Red Hat Enterprise Linux、Microsoftおよびその他のベンダーはこの名前をForeshadowおよびForeshadow-NGに対して採用しました。

脆弱性の詳細

Foreshadowにより、攻撃者は特権昇格することなく、同じホストで実行中の他のアプリケーションに保存されているデータにアクセスできるようになります。これにより、攻撃者は機密ファイル、データ、パスワード、キー等のアクセスを得ることができます。ForeshadowのPOCコードはまだリリースされておらず、研究者は悪用された際に、それを検出する方法がないと指摘します。

Foreshadow-NGにより、攻撃者は同じクラウド上の任意の仮想マシンのメモリーにアクセスすることができるので、大きな問題です。Foreshadow研究者の要旨によると: 「Foreshadow-NGは仮想メモリサンドボックスをフルにエスケープする最初のトランジエントの実行攻撃です」これには、資産オーナーがデジタル上での隣人からリスクにさらされる可能性のあるクラウド環境を含みます。さらに最悪なのは、SGXが実行された方法、SGXが侵害された単一のマシンがエコシステム全体を汚染してしまうことです。

現在利用可能な情報に基づいて、AMD/ARMベースのプロセッサーはSGXを実行していないため、この欠陥による影響はないと考えられています。

緊急措置が必要

弊社は、お使いのオペレーティングシステムおよび仮想化ベンダーのセキュリティーアップデートを確認し、インストールするよう強く推奨します。MicrosoftおよびRed Hatは複数の方法および異なる度合いで欠陥を緩和するためにアップデートをリリースしました。これらのアプローチには、機密データのフラッシング、機密データをアクセス不能にレンダリング、仮想化プロセッサーとその他戦略の分離を強化することが含まれます。

影響を受けているシステムの特定

プラグインのライブリストはこちら。各システムに対して新たなプラグインが開発される度にリストが更新されます。

詳しくはこちらから

• Foreshadowパブリケーション
• Red Hatアドバイザリー
• Microsoftアドバイザリー
• Intelアドバイザリー
• Ciscoアドバイザリ

現代のアタックサーフェスを総合的に管理するCyber Exposureプラットフォーム、Tenable.ioの詳細はこちら。Tenable.io Vulnerability Managementの60日間無料トライアルをお試し下さい。