アクロニス、IntelプロセッサのMDS脆弱性に対応するSDIアップデートを公開

 

Acronis acts quickly to counter MDS Vulnerabilities in Intel Processors

 

先般、Intel社のプロセッサに新しいハードウェア脆弱性があることが明らかになりました。これは、CPUの処理速度と性能を向上させる投機的実行におけるセキュリティ欠陥に基づくものです。残念ですが、この最適化には代償が伴ったということです。

Microarchitectural Store Buffer Data(MDS)と呼ばれる一連の脆弱性は、「投機的実行を悪用した攻撃」を可能にします。この攻撃によって、悪意のあるアプリケーションやゲスト仮想マシンは、ロードバッファ、ストアバッファ、ラインフィルバッファなど、CPUのバッファ内に保存されているデータにアクセスできるようになります。そうして、システムの他のセキュリティ制限を回避することができるのです。

  • 悪い知らせ: MDSバグを発見した研究者グループによると、このバグは2011年以降にリリースされたすべてのIntel製CPUに影響するということです。その結果、Acronis Software-Defined Infrastructureも攻撃にさらされる可能性があります。
  • 良い知らせ: 問題が特定されてすぐ、アクロニスは迅速に修正プログラムを開発し、SDIをアップデートしました。このアップデートをインストールすれば、データが危険にさらされることはありません。

 

MDSの脆弱性について

一連のMDS攻撃を発見した研究者グループは、4つの共通脆弱性識別子(CVE)を特定しました:

  • Microarchitectural Fill Buffer Data Sampling MFBDS)、CVE-2018-12130 – RIDLともZombieLoadとも呼ばれる、CPUのフィルバッファを狙ったサイドチャネル攻撃。高リスクの脅威です。
  • Microarchitectural Data Sampling Uncacheable Memory MDSUM)、 CVE-2019-11091 – こちらも、CPUのフィルバッファを狙ったサイドチャネル攻撃。中程度の脅威と考えられます。
  • Microarchitectural Store Buffer Data Sampling MSBDS)、CVE-2018-12126 – Falloutとしても知られる、CPUのストアバッファを狙ったサイドチャネル攻撃。中程度の脅威と考えられます。
  • Microarchitectural Load Port Data Sampling MLPDS)、CVE-2018-12127 – CPUのロードポートを狙ったサイドチャネル攻撃。中程度の脅威と考えられます。

特定された4つのCVEのうち、最も危険なのはZombieloadであると専門家は言います。というのも、この攻撃はMeltdownやSpectreと似ており、攻撃中にほとんどのデータをキャプチャすることができる可能性が非常に高いからです。

 

MDSの脆弱性を緩和する

先日、MDSの脆弱性に関する注意喚起が行われてすぐに、アクロニスのエンジニアはソリューションを作成しました。 そうして必要なテストと厳しい品質保証基準に合格したあと、2019年5月22日にそのSDIアップデートをリリースしました。

この重要なアップデートをAcronis Software-Defined Infrastructureに実行するには、 管理者画面でSETTINGS(設定)からUPDATE(アップデート)に移動します。アップデート(Build 2.5U7-16502)を選んだら、リブートを行ってプロセスを完了させます。

アップデートされたノードは、1つずつ自動的にリブートします。リブート中、サービスやデータの冗長構成がないクラスタ構成では、ストレージサービスが使用できなくなることがあります。

 

ハイパースレッディングを無効にする

注意が必要なのが、Intelのハイパースレッディング・テクノロジーを無効にしないと、MDSの脆弱性を完全に修正することができないという点です。ハイパースレッディング・テクノロジーは、2つの論理プロセッサを使用し、システムのパフォーマンスを上げるために開発されました。しかしMDS攻撃では、悪意のある仮想マシンを1つのスレッド上で実行しながら、実際には別のスレッドのデータにアクセスさせることができます。

ハイパースレッディング・テクノロジーを無効にするとシステムパフォーマンスは大幅に落ちますが、そこはリスクと利便性をしっかり秤にかける必要があるでしょう。

ハイパースレッディング・テクノロジーを無効化する場合は、システムBIOSでSMTを無効にするか、‘nosmt’フラグをGRUB設定ファイルでカーネルのブートパラメータとして設定します。

 

データとシステムを守り続ける

最新テクノロジーは凄まじいスピードで進化していますが、コンピュータ技術では1つ課題が解決したと思えば(処理速度の改善など)、また新たな問題が発生します。大した問題でないこともありますが、データの安全性やアクセシビリティ、プライバシー、真正性、セキュリティに、かなり深刻な脅威をもたらすこともあります。

アクロニスは、問題はひょんなことから起きるとよく理解しています。だから、使いやすくて効果的な、セキュアなサイバープロテクションソリューションによって、すべてのデータ、アプリケーション、システムを保護しようと取り組んでいるのです。

そうしてサービスの効率性とセキュリティを確保することで、アクロニスのソリューションが動作している支援技術に問題があったときも、素早くセキュリティホールを塞ぐことができます。MDSバグに関しては、新しいアップデートを適用すれば、データはもう安全です。