Quando pensavamo di esserci definitivamente lasciati alle spalle l’incubo Spectre-Meltdown, ecco giungere notizia di nuove gravi vulnerabilità che colpiscono pressoché tutti i dispositivi in circolazione. Possono essere sfruttate per dar vita all’attacco ZombieLoad (o Microarchitectural Data Sampling), mettendo a rischio le informazioni elaborare dal processore, incluse quelle legate a password, corrispondenza, cronologia delle attività svolte e documenti. A scoprirle i ricercatori dell’istituto austriaco Graz University of Technology.
ZombieLoad, le vulnerabilità
Interessata la maggior parte delle componenti prodotte e commercializzate da Intel, AMD, VIA e ARM, integrate nei device che tutti portiamo con noi e utilizziamo quotidianamente, dai PC desktop ai laptop, fino agli smartphone e ai tablet. Le vulnerabilità identificate sono quattro: Microarchitectural Data Sampling Uncacheable Memory (MDSUM, CVE-2018-11091), Microarchitectural Store Buffer Data Sampling (MSBDS, CVE-2018-12126), Microarchitectural Fill Buffer Data Sampling (MFBDS, CVE-2018-12127) e Microarchitectural Load Port Data Sampling (MLPDS, CVE-2018-12130).
L’appellativo deriva da “zombie load”, termine utilizzato per descrivere un pacchetto di informazioni che il processore non è in grado di interpretare o elaborare correttamente, finendo col far ricorso alla tecnica microcode per prevenire il rischio di crash. Nonostante i software siano solitamente in grado di leggere esclusivamente i propri dati, le vulnerabilità permettono di oltrepassare questo confine, esponendo dunque potenzialmente tutto ciò che transita dalla CPU. Di seguito una demo: si noti nella parte destra del filmato come compaiano in tempo reale gli indirizzi dei siti visitati all’interno del browser. Allo stesso modo è possibile intercettare password e quant’altro.
MDS, disponibili le prime patch
Produttori hardware e software house si sono già messi all’opera in modo da confezionare le patch e gli aggiornamenti necessari se non per risolvere, almeno per contenere, i potenziali effetti delle vulnerabilità. Questo comporta nella maggior parte dei casi un decremento delle performance che può arrivare al 3% nei dispositivi consumer e fino al 9% nei data center. Al momento non si ha notizia di attacchi messi a segno sfruttando ZombieLoad.
Apple ha rilasciato update per tutte le unità della linea Mac commercializzate dal 2011 in poi, indirizzati alle versioni Mojave, Sierra e High Sierra del sistema operativo macOS. iPad, iPhone e gli smartwatch della mela morsicata non ne sono interessati. Amazon ha confermato di aver applicato i correttivi necessari all’infrastruttura AWS, così da proteggere i dati dei clienti senza chieder loro alcuna azione aggiuntiva.
Lavoro anche per Google, che ha confermato come a essere affetti da ZombieLoad siano i dispositivi Android con processore Intel, una piccola quota del totale. Per questi è già in fase di rollout un aggiornamento. Barriere innalzate contro i bug anche per i Chromebook con l’ultima versione di Chrome OS. Lo stesso vale per i data center del gruppo.
Microsoft ha reso noto di aver collaborato con i chipmaker per porre rimedio alla falla sia nei propri sistemi operativi (Windows 10 in primis) sia per quanto riguarda la piattaforma Azure. Infine, Mozilla dichiara di aver messo in cantiere le patch destinate alle differenti versioni del browser Firefox come parte integrante degli aggiornamenti che verranno rilasciati nella giornata del 21 maggio.
Aggiornamento (20/05/2019): AMD ha dichiarato che, sulla base dei risultati ottenuti dai test condotti, le proprie CPU non sono affette dalle vulnerabilità.