Ionescu Twitter Spectre Meltdown da BeLabs.it

Le patch per “Meltdown” e “Spectre” su Windows 10 danno ancora grattacapi

Le ultime patch rilasciate da Microsoft hanno mostrato un pericoloso “buco” sulle versioni precedenti l’ultimissimo update che le renderebbe praticamente inutili e si aspettano nuovi fix in “backport” a breve termine.

 

La notizia di per sé abbastanza preoccupante lo diventa ancora di più in considerazione del fatto che le note vulnerabilità riguardano praticamente tutto il parco di processori attualmente in circolazione (per quanto riguarda Intel sicuramente tutte le CPU prodotte negli ultimi 20 anni su per giu’ sono esposte a Meltdown e Spectre, per AMD e ARM ci sono parecchi distinguo e una situazione più granulare e in un certo senso meno critica).

Un ricercatore della compagnia di sicurezza informatica Crowdstrike, Alex Ionescu, ha scoperto come nell’ultima serie di patch rilasciate da Microsoft per Windows 10, dedicate a risolvere la vulnerabilità nota come “Meltdown”, siano a loro volta affette da una pericolosa falla che le renderebbe di fatto inefficaci.

Ionescu Twitter Spectre Meltdown da BeLabs.it
Il Twit di Ionescu di Crowdstrike che comunica la scoperta del bug nella patch Microsoft

Come scrive Ionescu via Twitter, utilizzando una chiamata alle API di sistema NtCallEnclave si riesce a ottenere, nello user space, l’intera directory delle tabelle delle kernel page, rendendo quindi totalmente inutile la “mitigazione” fornita in teoria dalle patch.

Microsoft ha silenziosamente risolto questo problema nell’ultimo update (Windows 10 April 2018 Update – nome in codice Redstone4 v 1803) mentre le (più diffuse) build precedenti rimangono esposte al problema e ai rischi conseguenti.

Il produttore ha annunciato come sia al lavoro per il pronto rilascio dei “backport” di tale fix anche per le versioni precedenti e ancora supportate di Windows 10, non è dato sapere se verranno rilasciate come fix d’emergenza o al prossimo “patch Thursday” di Maggio.

Per quanto riguarda invece “Spectre”, vulnerabilità molto più insidiosa e complicata da arginare visto che richiede un intervento di concerto per la parte software e quella del firmware/BIOS per correggerne gli aspetti “hardware” del problema, Microsoft si è data piuttosto da fare vista anche la difficoltà incontrata dai produttori (Intel in primis) nel risolvere il guaio.

Logo delle vulnerabilità Meltdown e Spectre da www.belabs.it
I loghi delle vulnerabilità Meltdown e Spectre

La prima patch (dedicata a quella che ora è chiamata vulnerabilità “Spectre v1”) è risolvibile con patch a livello di sistema e di applicazione e ha trovato “cura” negli update rilasciati tempo addietro.

I fix per “Spectre v2” (CVE-2017-5715) per contro hanno avuto un cammino più accidentato. Le prime patch del 4 gennaio infatti si sono dimostrate fin da subito problematiche, con parecchi sistemi che hanno mostrato problemi più o meno seri di stabilità dopo la applicazione, tanto che per un certo periodo le patch in questione furono bloccate dalla distribuzione per ulteriori test.

Questo ha portato al rilascio del fix KB4078407 , una patch a livello di sistema che chiede comunque anche un aggiornamento del BIOS/firmware della macchina per completarne l’efficiacia e che è disponibile solo per Windows 10 e Windows Server 2016 (le versioni precedenti invece non sono state sistemate).

Il secondo fix, KB4091666, è destinato solo ai sistemi con processori Intel ed include infatti l’aggiornamento per il microcodice integrato nella CPU per mitigare la vulnerabilità. Inizialmente questo aggiornamento sarebbe dovuto essere distribuito da Intel ai vari produttori di schede madri, ma stando un certo ritardo di distribuzione e rilascio dei BIOS aggiornati, Microsoft ha intrapreso la distribuzione dei microcodici aggiornati in modo indipendente per evitare uno stallo pericoloso nell’applicazione di questo aggiornamento.

Come detto sopra poi, questo aggiornamento ha efficacia totale solo nell’ultima versione di Windows (v1803) mentre per le più diffuse build precedenti si dovrà attendere il backport promesso a breve.

Per quanto riguarda invece AMD, questa aveva già rilasciato degli update per i microcodici delle proprie CPU prodotte dal 2011 in avanti che i produttori delle schede madri devono aggiornare nei BIOS dei propri sistemi e schede madri.

Per evitare ritardi, anche qui di concerto con Microsoft, il produttore americano aveva collaborato alla realizzazione di due patch, la seconda delle quali dedicata espressamente a Spectrev2 e considerata “critica” da AMD e classificata come KB4093112.

Sempre in ambito AMD rimangono scoperte alcune vulnerabilità specifiche note come RyzenFall, MasterKey, Fallout, e Chimera, tutte segnalate nel corso degli ultimi due mesi e potenzialmente molto meno pericolose ed impattanti di Spectre e Meltdown. Sono previste anche per queste degli aggiornamenti in tempi rapidi, forse anche qui per il prossimo “patching day” di maggio.

Nel frattempo Microsoft ha rilasciato un altro fix urgente per coprire un’altra vulnerabilità (non legata a Meltdown o Spectre e che riguarda tutti i sistemi che siano a base Intel o AMD) classificata come critica (CVE-2018-8115) inerente la libreria Windows Host Compute Service Shim (hcsshim lib) che permetteva di eseguire codice malevolo da remoto sui sistemi non protetti.

Fonti: Bleeping Computer , Twit Ionescu , Microsoft, CVE-Mitre

Condividi su:
Torna su