A gennaio 2018 i ricercatori del team Google Project Zero aprirono il vaso di Pandora puntando il dito contro vulnerabilità presenti a livello di processore che gli aggressori possono sfruttare per sottrarre dati personali e informazioni sensibili dalle aree protette della memoria. Si tratta di vulnerabilità che hanno a che fare con la cosiddetta esecuzione speculativa, una tecnica utilizzata sui processori per ridurre “il costo” delle operazioni di salto condizionato.
La scoperta delle lacune di sicurezza battezzate Spectre e Meltdown ha fatto da apripista per i successivi attacchi side channel che fanno leva su tutta una serie di debolezze delle CPU.
Trattandosi di problematiche a livello hardware, il processore in sé non può essere aggiornato ma è possibile soltanto applicare aggiornamenti su BIOS/UEFI e sul sistema operativo. L’applicazione di queste patch spesso può introdurre un calo prestazionale più o meno marcato tanto che molti utenti hanno in questi anni preferito rimandarne l’installazione, specie se le correzioni implicano l’aggiornamento della scheda madre.
L’utilità InSpectre consente di verificare se sul sistema in uso siano presenti le correzioni per le vulnerabilità Spectre e Meltdown iniziali oltre che per le successive “varianti”.
In molti ritenevano che problematiche come Spectre e Meltdown fossero di grande valenza teorica ma di scarsa applicabilità al fine di sferrare attacchi sui sistemi degli utenti finali.
Il ricercatore Julien Voisin ha in queste ore scoperto due codici exploit per sistemi Windows e Linux che sfruttano proprio Spectre e Meltdown.
La scoperta è stata fatta esaminando i file pubblicati su VirusTotal (VirusTotal: guida all’uso del servizio per controllare l’identità dei file) quindi risalendo ai corrispondenti elementi dannosi.
Voisin ha accertato che gli exploit appena venuti a galla possono essere utilizzati per estrarre gli hash delle password degli account utente Windows e in Linux per accedere al contenuto del file /etc/shadow
con la lista delle credenziali.
Gli exploit possono essere utilizzati anche per acquisire privilegi più elevati, attraverso l’utilizzo di PsExec, ed estendere l’attacco ad altri dispositivi collegati in rete locale.
Il codice in questione individuato da Voisin fa parte di un pacchetto chiamato CANVAS e rilasciato da Immunity. CANVAS è uno strumento di penetration testing che consente di accertare il livello di sicurezza di un sistema come di un’intera rete informatica.