«إنتل» تكشف عن ثالث أكبر ثغرة أمنية في معالجاتها

قبل أقل من عام على اكتشاف أكبر وأخطر ثغرتين أمنيتين في تاريخ صناعة تقنية المعلومات، وهما: «سبكتر» و«ميلتداون» داخل المعالجات المركزية الدقيقة «بروسيسور» التي تنتجها شركات معالجات عالمية كبرى، وهي «إنتل»، و«إيه إم دي»، و«إيه آر إم»، تم الإعلان أخيراً عن ثغرة أمنية ثالثة جديدة موجودة في معالجات «إنتل» يطلق عليها «فور شادو» تسمح للمهاجم الذي ينجح في استغلالها بضرب وتحييد أدوات «إنتل» لحماية البرمجيات الملحقة بالمعالج، ومن ثم يصبح بمقدوره السيطرة على البيانات الموجودة في ذاكرة المعالج، والبيانات التي يجري معالجتها، والسيطرة على وضعية إدارة نظام تشغيل الكمبيوتر بأكمله، وحتى الآن لا علاج لها سوى تغيير المعالج نفسه بآخر من الأجيال الحديثة الخالية من هذه الثغرة.

اكتشاف الثغرة

أعلن عن الثغرة صباح 14 أغسطس من قبل شركة «إنتل» الأميركية التي تعتبر أكبر منتج للمعالجات في العالم، وثلاثة فرق من العلماء، الفريق الأول من جامعة «كي يو ليوفين» وضم الدكتور جو فان بولك، وفرانك بيسنس، وراؤول ستراك، والثاني من جامعة «متشيغان» وضم الدكتور مارينا مينجين، ومارك سيلبرشتاين ودانيال جينكين، وباريز كاسيكي، والثالث من جامعة «أديلاند» وترأسه الدكتور يوفال ياروم.

وأكدت «إنتل» وجود الثغرة على النحو الذي توصل إليه العلماء في يناير 2018، في وقت نشر فيه العلماء المعلومات المتعلقة بالثغرة عبر موقع خاص بها هو foreshadowattack.eu.

تلميحات وإشارات

ووفقاً للمعلومات الواردة في الموقع، فإن اسم الثغرة مستوحى من مصطلح معروف في عالم الأدب والروايات، وهو «التأهب»، أو الحالة التي يعطي فيها المؤلف تلميحات متناثرة، توحي للقارئ بأشياء قد تحدث في الأجزاء التالية من الرواية، وإذا ما كان القارئ لماحاً ذكياً بدرجة كافية، فإنه يمكنه التنبؤ أو وضع تصور لتسلسل الأحداث يتفق مع ما وضعه المؤلف فعلياً.

وبالمثل، فإن ثغرة «فور شادو» ليست كأي ثغرة أمنية تظهر واضحة جلية محددة الملامح أمام المهاجم فيستغلها، وإنما هي سلسلة تلميحات أو إشارات يمكن رصدها بصورة متسلسلة، ويتعين تجميعها والربط في ما بينها لكي يتم تكوين الصورة الكاملة لهذه الثغرة الأمنية. وهذا الوضع ليس متعمداً من قبل «إنتل»، لكنه جاء عرضاً نتيجة العجلة في طرح المنتجات الجديدة، وضيق الوقت أمام المصممين والمبرمجين المسؤولين عن إنتاج المعالجات، الذين يتركون وراءهم شذرات بسيطة من الأخطاء المتتالية التي تقبل التخمين والتجميع والتكهن للوصول إلى تكوين الثغرة الكاملة.

وقال الباحثون إن الطبيعة الخاصة لهذه الثغرة كانت وراء مرور أشهر عدة على اكتشافها حتى تم الاعتراف بها من قبل «إنتل» بصفة نهائية.

طبيعة الثغرة

تعمل ثغرة «فور شادو» في ثلاثة أجزاء من المعالج، الأول هو البرمجية المعروفة باسم «ملحقات حراسة البرمجيات» أو «إس جي إكس»، وهي برمجية صممتها «إنتل» بالأساس لحماية البيانات والمعلومات المتداولة داخل المعالج الدقيق، والثاني هو ما يعرف ببرامج «الماكينات التخيلية» أو «في إم» وهي برامج تنشئ ما يشبه نظام كمبيوتر متكاملاً بصورة تخيلية داخل الكمبيوتر الأصلي، ليعمل بصفة معزولة تماماً وسط المعالج الأصلي، وذلك كله بصورة افتراضية، والجزء الثالث هو ذاكرة نظام التشغيل والقسم الخاص بوضعية إدارة النظام أو ما يعرف بـ«إس إم إم»، إضافة إلى برمجية أخرى تعرف باسم «هايبر فايزور» لها علاقة بتشغيل برمجيات الماكينات التخيلية.

وامتداد نطاق عمل «فور شادو» على هذا النحو، يجعل بإمكان المهاجم القادر على استغلالها أن يشن هجمات على المعلومات الموجودة في ذاكرة التخزين المؤقت التي تطلق عليها «إنتل» اسم «إل 1»، والتي تضم في العادة معلومات خاصة بقلب المعالج أو محوره الرئيس «كيرنيل».

استخدام «فور شادو»

واعترفت «إنتل» بأن «فور شادو» يمكن أن تستخدم من قبل المهاجمين لإنشاء: تطبيقات ضارة قد تكون قادرة على استنتاج البيانات في ذاكرة نظام التشغيل، أو البيانات من تطبيقات أخرى، واستنتاج وجود «ماكينة تخيلية» واستخلاص جميع البيانات الموجودة فيها، فضلاً عن استنتاج والعثور على البرامج الضارة التي يمكن أن تعمل في وضعية إدارة نظام التشغيل، واستنتاج والعثور على البرمجيات الخبيثة التي يمكن تشغيلها من وراء برمجية «ملحقات حراسة البرمجيات»، وهذه ربما تكون أخطر نقطة في ثغرة «فور شادو»، لأن القدرة على شل قدرات ملحقات حراسة البرمجيات وتحييدها في معالج واحد فقط، يعني انهياراً كاملاً لجميع المعالجات المماثلة أمام المهاجم نفسه، الأمر الذي يجعله قادراً على شن الهجمات التالية بسرعة وسهولة ودون الحاجة للمجهود الذي بذله في شن الهجمة الأولى. وعملياً، يعني ذلك أن آلاف الأجهزة العاملة بالمعالجات ذاتها تكون صيداً سهلاً بالنسبة له.

لا حل نهائياً

أكدت «إنتل» أنه لا يوجد حل نهائي يمكنه التعامل مع ثغرة «فور شادو» حتى الآن سوى الانتظار إلى حين ظهور معالجات جديدة غير محتوية على هذه الثغرة، واستخدامها بدلاً من الحالية المصابة، وإن كانت لفتت إلى أنه سيتم عمل تحديثات وترقيات أمنية لاستخدامها بصفة عاجلة.