Rozszerzenia SGX (Software Guard Extensions) Intela zostały poddane rewizji po tym, jak producent ujawnił kilka nowo odkrytych luk w zabezpieczeniach tej technologii i zalecił użytkownikom aktualizację firmware’u.
Odkryte luki są jednymi z ostatnich ujawnionych na stronie Intel Security Center. Obejmują one szeroki zakres produktów Intela, w tym procesory Xeon, adaptery sieciowe, a także oprogramowanie. Ogólnie rzecz biorąc, do portalu Intel Security Center dodano 31 porad na dzień 14 lutego. W poprawkach znalazło się pięć luk w zabezpieczeniach SGX, znajdujących się na liście CVE.
Dwie z luk w SGX dotyczą potencjalnej eskalacji uprawnień, która może prowadzić do ujawnienia informacji, co jest niezręczne w przypadku funkcji, która ma umożliwić bezpieczne przetwarzanie wrażliwych danych wewnątrz zaszyfrowanych obszarów pamięci znanych jako enklawy. Jedna z nich, CVE-2022-38090, ma stopień ciężkości średni i dotyczy wielu procesorów Intela, w tym serwerowych układów Xeon Scalable trzeciej generacji, które dopiero niedawno zostały zastąpione przez produkty czwartej generacji “Sapphire Rapids”.
Opis Intela w tej sprawie wyjaśnia: “Nieprawidłowa izolacja zasobów współdzielonych w niektórych procesorach Intela podczas korzystania z rozszerzeń Intel Software Guard Extensions może pozwolić uprzywilejowanemu użytkownikowi na potencjalne umożliwienie ujawnienia informacji poprzez dostęp lokalny”.
Intel zaleca użytkownikom produktów dotkniętych tym problemem aktualizację do najnowszej wersji firmware’u dostarczonej przez sprzedawcę systemu.
Kolejny, CVE-2022-33196, ma ocenę dotkliwości na poziomie wysokim i również dotyczy układów Xeon Scalable 3. generacji, a także procesorów Xeon D. Intel poinformował, że wyda aktualizacje BIOS-u i mikrokodu dla dotkniętych układów.
Podany do wiadomości opis ujawnia, że: “Nieprawidłowe domyślne uprawnienia w niektórych konfiguracjach kontrolera pamięci dla niektórych procesorów Intel Xeon podczas korzystania z rozszerzeń Intel Software Guard Extensions mogą pozwolić uprzywilejowanemu użytkownikowi na potencjalne umożliwienie eskalacji uprawnień poprzez dostęp lokalny”.
Kolejny problem dotyczący SGX dotyczy aktualnego zestawu do tworzenia oprogramowania (SDK). Jest on oceniany jako mało poważny, ale nadal może potencjalnie umożliwić ujawnienie informacji poprzez dostęp lokalny, według Intela, poprzez niewłaściwe sprawdzanie warunków w oprogramowaniu. Firma powiedziała, że wyda aktualizacje, aby to złagodzić.
Rozszerzenia SGX zostały po raz pierwszy wprowadzone w 2015 roku wraz z procesorami Intel Core generacji Skylake. Były one jednak nękane przez luki w zabezpieczeniach i zostały zdeprecjonowane w układach zorientowanych na klienta z 11. i 12. generacji procesorów Core.
