O aktualizaci Acronis SDI k ochraně proti MDS-Intel zranitelnostem

18.6.2019

Není tomu dlouho, co byla odhalena nová třída zranitelností procesorů Intel. Souhrnně se jim říká MDS neboli Microarchitectural Data Sampling a zneužitím mezer v technologii Hyper-Threading, tedy v technologii, která je vlastní pouze čipům Intel a která má zlepšovat jejich rychlost a výkon, zranitelnosti hackerům umožňují číst data mezi sousedními procesy. Jinými slovy umožňují přes zákeřnou aplikaci nebo virtuální stroj číst jinak nepřístupná a bezpečná data z CPU.

Čím je tato třída zranitelností zvláštní? MDS bug se dotýká drtivé většiny procesorů Intel vyrobených od roku 2011. Tím se ocitla v ohrožení i Acronis Software-Defined Infrastructure. Naštěstí Acronis okamžitě po odhalení vyvinul záplatu a aktualizoval SDI, takže vaše data nebudou v ohrožení – jakmile si nainstalujete aktualizaci.

 

Mitigace zranitelností MDS

Aktualizace Acronis SDI je dostupná od 22. května a dostanete se k ní jednoduše přes nastavení, aktualizace na vašem řídícím panelu. Po zvolení aktualizace (Build 2.5U7-16502) bude k jejímu dokončení vyžadován restart systému. Aktualizované uzly se automaticky jeden po druhém rebootují.

Je třeba ale upozornit, že kompletně zamezit všem možným zneužitím MDS zranitelností nelze jinak, než vypnutím technologie Hyper-Threading. Ta jednoduše řečeno funguje na základě využití dvou logických procesorů namísto jediného fyzického – a právě tohoto zdvojení MDS zranitelnosti využívají tak, že z jednoho odposlouchávají data na tom druhém.

Naneštěstí se vypnutí technologie Hyper-Threading negativně podepíše na výkonu procesoru, a to do míry závislé na konkrétním modelu, pročež je třeba zvážit, jestli na systému pracujete s citlivými daty a jak moc je systém samotný klíčovým pro váš business – jestli máte legitimní důvod obětovat na oltář dokonalé bezpečnosti dost možná podstatnou část výkonu. Pokud tomu tak je, Hyper-Threading lze najít a vypnout v BIOSu pod názvem SMT, případně lze technologii vypnout přidáním „nosmt“ do kernel boot parametru v konfiguračním souboru GRUBu.

 

Udržujte systém a data v bezpečí

Jen krátce poté, co byly zranitelnosti MDS popsány, instrukce k jejich zneužití začaly být pozorovatelné v rychle se šířících masových malwarových kmenech. Vedle starých známých Meltdown a Spectre zranitelností, mimochodem fungujících na podobném principu jako MDS, se fóra na darknetu začala hemžit i odkazy na RIDL, Fallout a Zombieload – kódová označení jednotlivých MDS zranitelností.

Rychlost vývoje moderních technologií je neúprosná a snaha o řešení jednoho problému často vede k řadě problémů nových. Ty můžou být malé a nezávažné, také ale mohou ohrožovat vaše soukromí, autenticitu vašich dat, přístup k nim a ve výsledku i celý váš business.

Nejen běžné ztráty dat, ale i tyto nahodilé a o to kritičtější výzvy, jsou pro Acronis ve středu pozornosti – jsou pro nás neodmyslitelnou součástí našeho poslání: chránit vaše data, aplikace a systémy pomocí efektivních, bezpečných a snadno použitelných řešení kybernetické ochrany. Aby byly tyto služby vskutku efektivní a bezpečné, Acronis musí reagovat rychle, když dojde ke kompromitaci hardwaru, na kterém naše řešení běží. A v případě MDS zranitelností byla vaše data v bezpečí od momentu nasazení aktualizace.