포어섀도우(Foreshadow), 인텔 CPU 보안영역 해킹 취약점
인텔 CPU 특유의 보안 영역인 SGX Enclave의 민감한 내용을 탈취할 수 있는 취약점이 발견됐다. speculative execution 기능의 취약점을 이용한다는 점에서 스펙터(Spectre) 류로 분류되기도 하지만, SGX Enclave와 L1 캐시 메모리를 공격 대상으로 한다는 점에서 많이 다르기도 하다. 이런 차이점으로 인해, 기존의 멜트다운(Meltdown)과 스펙터에 대한 대응 조치는 소용이 없다.
인텔에서는 이를 L1TF라고 부르는데, 먼저 발견하고 제보한 연구팀은 포어섀도우라고 부른다. 포어섀도우에는 3개의 버전이 있는데, 원조는 CVE-2018-3615로 등록된 Foreshadow, 2개의 변종은 CVE-2018-3620, 3646인 Foreshadow NG(Next Generation)이다.
Foreshadow는 SGX Enclave를 공격하고, Foreshadow NG는 L1 cache를 공격한다. Sgx Enclave는 인텔 CPU에 특유한 것이므로 현재까지의 연구 결과로는 다른 제조사의 CPU는 영향을 받지 않는다고 한다.
포어섀도우는 스펙터로 한창 난리가 났던 올 초에 인텔에 보고됐고, 인텔은 바로 펌웨어 업데이트를 했다. 그러나 운영체제와 드라이버에 대한 패치가 늦어져 8.14일에야 배포됐고, 관련 사실도 대중에 공개됐다. 이번 패치는 스펙터 때와는 달리 시스템 성능 저하가 거의 없다고 한다. 포어섀도우 역시 스펙터와 마찬가지로 클라우드 서비스에 특히 위협적이므로, 서비스 제공업체의 주의가 필요하다.
포어섀도우 발견으로 인해 CPU의 보안영역에 대한 과신은 금물이라는 점이 더욱 명확해졌다. 이전에도 SgxPectre라는 취약점(관련 자료 1)이 발견된 바 있고, 일반 악성코드에 의한 공격 가능성도 입증된 적이 있다. 물론 공격의 난이도와 안전성에서 일반 저장공간과는 큰 차이가 있지만, 정상 프로그램이 읽고 쓸 수 있는 공간이라면 악성코드도 할 수 있다고 보는 편이 옳다.
인텔에서는 이를 L1TF라고 부르는데, 먼저 발견하고 제보한 연구팀은 포어섀도우라고 부른다. 포어섀도우에는 3개의 버전이 있는데, 원조는 CVE-2018-3615로 등록된 Foreshadow, 2개의 변종은 CVE-2018-3620, 3646인 Foreshadow NG(Next Generation)이다.
Foreshadow는 SGX Enclave를 공격하고, Foreshadow NG는 L1 cache를 공격한다. Sgx Enclave는 인텔 CPU에 특유한 것이므로 현재까지의 연구 결과로는 다른 제조사의 CPU는 영향을 받지 않는다고 한다.
포어섀도우는 스펙터로 한창 난리가 났던 올 초에 인텔에 보고됐고, 인텔은 바로 펌웨어 업데이트를 했다. 그러나 운영체제와 드라이버에 대한 패치가 늦어져 8.14일에야 배포됐고, 관련 사실도 대중에 공개됐다. 이번 패치는 스펙터 때와는 달리 시스템 성능 저하가 거의 없다고 한다. 포어섀도우 역시 스펙터와 마찬가지로 클라우드 서비스에 특히 위협적이므로, 서비스 제공업체의 주의가 필요하다.
포어섀도우 발견으로 인해 CPU의 보안영역에 대한 과신은 금물이라는 점이 더욱 명확해졌다. 이전에도 SgxPectre라는 취약점(관련 자료 1)이 발견된 바 있고, 일반 악성코드에 의한 공격 가능성도 입증된 적이 있다. 물론 공격의 난이도와 안전성에서 일반 저장공간과는 큰 차이가 있지만, 정상 프로그램이 읽고 쓸 수 있는 공간이라면 악성코드도 할 수 있다고 보는 편이 옳다.
관련 자료
참고 자료
댓글
댓글 쓰기