Nelle scorse settimane ha destato grande scalpore la scoperta della problematica di sicurezza battezzata Downfall, all’interno dei processori Intel. Vulnerabili sono le CPU dalla sesta generazione (Skylake) all’undicesima (Tiger Lake). L’azienda di Santa Clara ha per prima rilasciato la correzione Downfall destinata all’implementazione a livello BIOS da parte dei produttori di schede madri.
Microsoft distribuisce la correzione Downfall agli utenti di Windows
Microsoft ha appena confermato di aver a sua volta integrato una “mitigazione” della vulnerabilità anche all’interno di Windows. Come abbiamo visto nell’articolo dedicato agli attacchi side-channel ai processori, la risoluzione delle falle di sicurezza di questo tipo è un processo lungo e complesso che prevede l’intervento di molteplici figure. Talvolta non basta neppure un intervento a livello di firmware perché l’architettura sottostante ormai è quella che Intel, ARM o gli altri produttori di microprocessori hanno definito in fase di progettazione. Ecco perché le modifiche sul BIOS della scheda madre sono spesso affiancate da patch lato sistema operativo.
Nel caso della vulnerabilità Downfall, il suo eventuale sfruttamento potrebbe consentire a un aggressore di estrarre dati riservati dalla CPU attingendo al contenuto dell’enclave sicura presente nel processore. Come spiegato nella pagina in cui abbiamo dettagliato il funzionamento dell’attacco Downfall, il problema è serio soprattutto negli ambienti di cloud computing: qui un attaccante potrebbe usare la falla di sicurezza per sottrarre dati e credenziali personali di altri soggetti che fanno uso dello stesso sistema.
L’aggiornamento KB5029778 attiva la patch contro gli attacchi ai processori Intel
Esaminando il contenuto del documento di supporto pubblicato da Microsoft, si apprende che l’aggiornamento KB5029778 per Windows 10, Windows 11 e per le versioni supportate di Windows Server, provvede ad attivare automaticamente la protezione contro gli attacchi Downfall alle CPU Intel (restano esclusi i processori più recenti come Alder Lake, Raptor Lake e Sapphire Rapids che non sono interessati dal problema).
Per adesso il pacchetto KB5029778 è proposto attraverso Windows Update e gli altri canali Microsoft come aggiornamento facoltativo. Chi installa l’aggiornamento, tuttavia, riceve automaticamente la protezione nei confronti di Downfall sulla versione di Windows in uso.
L’aggiornamento opzionale KB5029778 per Windows 10 e Windows 11 è in distribuzione dal 22 agosto mentre su Windows Server lo sarà dal 12 settembre 2023. In tempi successivi, è praticamente scontato che la correzione per Downfall entri a far parte degli aggiornamenti qualitativi mensili e che quindi sia distribuita all’intera base di utenti.
Come disattivare la patch KB5029778 contro Downfall in Windows
Praticamente come ogni aggiornamento destinato a “mitigare” un attacco side-channel nei confronti di una risorsa disponibile sul processore, la patch per Downfall impatta sulle prestazioni in maniera sostanziale. Questo significa che le performance del sistema possono risultarne ridimensionate in negativo, soprattutto con particolari carichi di lavoro.
Negli utilizzi abituali di workstation e PC, il calo prestazionale non dovrebbe essere facilmente osservabile. Come dimostrato, può invece diventare ragguardevole nel caso di elaborazioni HPC (High Performance Computing), in ambito data center ma anche con attività quali codifica video e transcodifica.
Chi avesse installato o installerà la patch KB5029778, sappia che in caso di rallentamenti del sistema, è possibile neutralizzare l’intervento in Windows. L’istruzione seguente, da impartire al prompt dei comandi (digitare cmd
nella casella di ricerca di Windows e scegliere Esegui come amministratore), permette di disattivare la correzione per Downfall:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 33554432 /f
Nel caso in cui si volesse successivamente ripristinare la correzione Downfall, basta digitare invece ciò che segue:
reg delete "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /f
In entrambi i casi non bisogna dimenticare di riavviare Windows per applicare le modifiche.