عيب “السقوط” الجديد يكشف بيانات قيمة في أجيال من رقائق إنتل

إنتل تطلق إصلاحات لثغرة في المعالج تؤثر على العديد من طرز رقائقه التي تعود إلى عام 2015 ، بما في ذلك بعض التي تباع حاليًا ، حسبما كشفت الشركة اليوم. الخلل لا يؤثر على أحدث أجيال معالجات إنتل. يمكن استغلال الثغرة الأمنية للتحايل على الحواجز التي تهدف إلى إبقاء البيانات معزولة ، وبالتالي خاصة ، على النظام. قد يسمح ذلك للمهاجمين بالحصول على بيانات قيمة وحساسة من الضحايا ، بما في ذلك التفاصيل المالية ورسائل البريد الإلكتروني والرسائل ، وكذلك كلمات المرور ومفاتيح التشفير.

لقد مرت أكثر من خمس سنوات منذ أن أثارت ثغرات معالج “Spectre” و “Meltdown” موجة من المراجعات لتصميمات شرائح الكمبيوتر في جميع أنحاء الصناعة. تمثل العيوب أخطاءً محددة ، ولكن أيضًا ثغرات حماية البيانات المفاهيمية في المخططات التي كانت تستخدمها الشرائح لإتاحة البيانات للمعالجة بسرعة أكبر وتسريع هذه المعالجة. استثمرت إنتل بكثافة في السنوات التي تلت ظهور هذه المشكلات المسماة “التنفيذ التخميني” لتحديد أنواع مماثلة من مشكلات التصميم التي يمكن أن تؤدي إلى تسريب البيانات. لكن الحاجة إلى السرعة لا تزال حتمية للأعمال ولا يزال كل من الباحثين وشركات الرقائق يجدون عيوبًا في إجراءات الكفاءة.

تحدث هذه الثغرة الأمنية الأخيرة ، التي أطلق عليها دانيال موغيمي ، الباحث في Google “السقوط” ، في رمز رقاقة يمكنه استخدام تعليمات تُعرف باسم “تجميع” للوصول إلى البيانات المتناثرة بسرعة أكبر في الذاكرة. تشير إنتل إلى الخلل باسم “جمع عينات البيانات” بعد إحدى التقنيات التي طورها موغيمي لاستغلال الثغرة الأمنية. وسيعرض موغيمي النتائج التي توصل إليها في مؤتمر بلاك هات الأمني ​​في لاس فيغاس يوم الأربعاء.

يقول مغيمي: “عمليات الذاكرة للوصول إلى البيانات المتناثرة في الذاكرة مفيدة جدًا وتجعل الأمور أسرع ، ولكن كلما كانت الأمور أسرع ، هناك نوع من التحسين – وهو شيء يفعله المصممون لجعله أسرع”. “استنادًا إلى تجربتي السابقة في العمل على هذه الأنواع من الثغرات الأمنية ، كان لدي حدس بأنه يمكن أن يكون هناك نوع من تسرب المعلومات مع هذه التعليمات.”

تؤثر الثغرة الأمنية على عائلة شرائح Skylake ، التي أنتجتها Intel من 2015-2019 ؛ عائلة Tiger Lake ، التي ظهرت لأول مرة في عام 2020 وستتوقف في أوائل العام المقبل ؛ وعائلة Ice Lake ، التي ظهرت لأول مرة في عام 2019 وتوقفت إلى حد كبير في عام 2021. رقائق الجيل الحالي من Intel – بما في ذلك تلك الموجودة في عائلات Alder Lake و Raptor Lake و Sapphire Rapids – لم تتأثر لأن محاولات استغلال الثغرة الأمنية سيتم حظرها بواسطة الدفاعات التي أضافتها إنتل مؤخرًا.

يتم إصدار الإصلاحات مع خيار تعطيلها بسبب احتمالية أن يكون لها تأثير لا يطاق على أداء بعض مستخدمي المؤسسة. “بالنسبة لمعظم أعباء العمل ، لم تلاحظ Intel انخفاض الأداء بسبب هذا التخفيف. ومع ذلك ، فإن بعض أعباء العمل الثقيلة الموجهة قد تشهد بعض التأثير ، “قالت إنتل في بيان.

دائمًا ما يكون إصدار إصلاحات لنقاط الضعف مثل السقوط أمرًا معقدًا لأنه ، في معظم الحالات ، يجب أن يمروا عبر كل مصنع يصنع الأجهزة التي تتضمن الرقائق المتأثرة ، قبل الوصول فعليًا إلى أجهزة الكمبيوتر. يأخذ صانعو الأجهزة هؤلاء الكود الذي توفره Intel وينشئون تصحيحات مخصصة يمكن تنزيلها بعد ذلك من قبل المستخدمين. بعد سنوات من إطلاق الإصلاحات في هذا النظام البيئي المعقد ، تتم ممارسة Intel في تنسيق العملية ، لكنها لا تزال تستغرق وقتًا. كشف مغيمي لأول مرة عن سقوط شركة إنتل قبل عام.

يقول مغيمي: “على مدى السنوات القليلة الماضية ، تحسنت العملية مع شركة إنتل ، ولكن على نطاق واسع في صناعة الأجهزة ، نحتاج إلى المرونة في كيفية معالجة هذه الأنواع من المشكلات والاستجابة لها”. “تحتاج الشركات إلى أن تكون قادرة على الاستجابة بشكل أسرع وتسريع عملية إصدار إصلاحات البرامج الثابتة وإصلاحات الرمز الصغير لأن الانتظار لمدة عام يعد نافذة كبيرة حيث يمكن لأي شخص آخر العثور على هذا الأمر واستغلاله.”

يشير مغيمي أيضًا إلى أنه من الصعب اكتشاف هجمات السقوط لأنها تظهر في الغالب على أنها نشاط برمجي غير ضار. ويضيف ، مع ذلك ، أنه قد يكون من الممكن تطوير نظام اكتشاف يراقب سلوك الأجهزة بحثًا عن علامات إساءة الاستخدام مثل نشاط ذاكرة التخزين المؤقت غير المعتاد.

تقول شركة إنتل إن تنفيذ هجمات السقوط في ظروف العالم الحقيقي سيكون “معقدًا” وصعبًا ، لكن موغيمي يؤكد أنه لم يستغرق سوى أسابيع قليلة لتطوير أدلة على مفهوم الهجوم. ويقول إنه بالنسبة إلى ثغرات التنفيذ التخمينية الأخرى والأخطاء ذات الصلة ، فإن السقوط سيكون أحد أكثر العيوب التي يمكن أن يستغلها مهاجم متحمس ومزود بموارد جيدة.

يقول مغيمي: “تمكن هذه الثغرة الأمنية المهاجم من التجسس بشكل أساسي على العمليات الأخرى وسرقة البيانات من خلال تحليل تسرب البيانات بمرور الوقت لمجموعة من الأنماط التي تشير إلى المعلومات التي يبحث عنها المهاجم ، مثل بيانات اعتماد تسجيل الدخول أو مفاتيح التشفير”. ويضيف أنه من المحتمل أن يستغرق الأمر وقتًا ، على مقياس ساعات أو حتى أسابيع ، حتى يتمكن المهاجم من تطوير نمط أو بصمة البيانات التي يبحث عنها ، لكن العائد سيكون كبيرًا.

“ربما كان بإمكاني بيع النتائج التي توصلت إليها إلى أحد وسطاء الاستغلال هؤلاء – يمكنك تطويرها إلى استغلال – لكنني لست في هذا المجال. يقول مغيمي.

ويضيف أن Downfall يبدو أنه يؤثر فقط على رقائق Intel ، ولكن من المحتمل أن تكون هناك أنواع مماثلة من العيوب كامنة في المعالجات التي تصنعها الشركات المصنعة الأخرى. يقول موغيمي: “على الرغم من أن هذا الإصدار بالذات لا يؤثر على الشركات المصنعة الأخرى بشكل مباشر ، إلا أنهم بحاجة إلى التعلم منه والاستثمار كثيرًا في التحقق”.