Scoperta una vulnerabilità di sicurezza in Intel
Un team di ricerca internazionale con la partecipazione di un professore dell'ETH è riuscito a scoprire una vulnerabilità nell'architettura di sicurezza dei processori Intel. Anche i prodotti Microsoft e Google sono stati colpiti fino a luglio.
Qualche anno fa, Intel, il principale fornitore mondiale di microprocessori per PC, ha introdotto un'innovazione che promette una maggiore sicurezza dei dati: le cosiddette Software Guard Extensions (SGX). Si tratta di meccanismi di controllo basati su hardware che garantiscono la sicurezza dei dati anche se il sistema operativo di un computer è incompleto o sotto attacco.
"I sistemi operativi devono svolgere un numero enorme di funzioni e sono molto complessi", spiega Shweta Shinde, professore assistente presso il Dipartimento di Informatica del Politecnico di Zurigo. Per questo motivo ha senso proteggere le applicazioni con dati sensibili dal sistema operativo, per così dire. Le estensioni Software Guard lo rendono possibile grazie alle cosiddette enclavi: alcune aree servono a proteggere il codice di programma delle applicazioni a cui il sistema operativo non deve poter accedere.
Shinde e i suoi colleghi ricercatori della National University of Singapore (NUS) e della Chinese National University of Defense Technology (NUDT) hanno ora scoperto una vulnerabilità in questa architettura di sicurezza. Non solo sono riusciti a estrarre i dati da queste enclavi, ma anche ad applicarvi codice arbitrario. I ricercatori hanno fatto la scoperta all'inizio di maggio 2021 e hanno immediatamente informato le due aziende interessate, Intel e Microsoft. Questa è la procedura abituale in questi casi. A metà luglio le due aziende hanno risolto il problema con delle patch software. L'attacco, che i ricercatori hanno programmato in mesi di lavoro, si chiama "SmashEx" ed è documentato in un documento già pubblicato. pubblicato come preprint è. Sarà presentato alla conferenza ACM CC il 15 novembre.
Nessun motivo di panico, ma una lezione
La vulnerabilità è stata classificata dalla stessa Intel con un cosiddetto punteggio CVSS di 8,2 su 10. Questo punteggio indica la gravità delle vulnerabilità sulla base di vari indicatori. Questo punteggio indica la gravità delle vulnerabilità sulla base di vari indicatori. In questo caso, secondo Shweta Shinde, dovrebbe essere così alto, tra le altre cose, perché il problema ha interessato nuovo hardware e un numero potenzialmente elevato di clienti aziendali e privati - i processori Intel con le Software Guard Extensions interessate sono molto diffusi. Tra l'altro, sono stati colpiti anche i prodotti di Google. Le enclavi Intel SGX sono spesso utilizzate anche quando l'infrastruttura IT è condivisa tra diverse parti o quando sono coinvolti dati sensibili, ad esempio nel settore bancario o sanitario.
"Il fatto che la vulnerabilità abbia colpito una tecnologia specificamente progettata per i dati sensibili deve farci riflettere", afferma Shinde, "ma non è un motivo di panico". Con le patch software, dice, il problema è stato risolto per il momento. Tuttavia, Shinde auspica anche un adeguamento hardware per le future generazioni di processori, per renderli più sicuri a lungo termine.