L’anno scorso ha visto molte attenzioni sulle vulnerabilità Spectre e Meltdown, che hanno coinvolto pressoché tutti i moderni processori Intel ma in parte non solo essi, costringendo non solo tutti i chipmaker coinvolti ma anche le aziende produttrici di software e sistemi operativi come Apple, Google e Microsoft a correre ai ripari. Oggi la situazione è più tranquilla, con una sensazione da “peggio passato”, dal momento che tutti i principali OS hanno già adottato misure di mitigazione, Intel e AMD hanno effettuato interventi a livello di microcodice (ovvero il firmware aggiornabile delle CPU) e stanno correggendo le vulnerabilità anche a livello hardware nelle prossime generazioni di processori. Già ai tempi della scoperta delle due falle, tuttavia, si prospettava che potessero essere le prime di una lunga serie (un’avvisaglia minore l’avevamo avuta con Variant 4) ed ecco che nelle ore passate sono emersi dettagli su un’altra vulnerabilità, ZombieLoad.

Come nel caso di Spectre e Meltdown, in realtà ZombieLoad non è un singolo bug ma un insieme. Sempre come per i precedenti gruppi di bachi, vengono sfruttate le capacità di esecuzione speculativa dei processori come viatico per ottenere in modo non autorizzato dati sensibili degli utenti. Entrando un po’ più nello specifico, un potenziale programma malevolo invia in elaborazione un pacchetto di dati difficoltoso nella gestione da parte della CPU, definito appunto “zombie load”, che così attua contromisure per proseguire nell’operato senza rischiare d’incorrere in crash. Il problema risiede proprio in questo comportamento, che scopre il fianco ai propri dati diventando di più facile sottrazione, partendo dalle password di accesso ai servizi online per arrivare fino alle chiavi di decodifica per file ed unità protette. La pericolosità viene amplificata dal fatto che ZombieLoad estende il suo raggio d’azione pure a macchine virtuali e cloud, rendendo necessarie contromisure immediate.

ZombieLoad riguarda esclusivamente i processori Intel dalle generazioni del 2011 in poi, dunque all’incirca da Sandy Bridge. Nessun prodotto di AMD o basato su ARM è coinvolto dalle vulnerabilità. L’azienda di Santa Clara ha per fortuna già emesso aggiornamenti del microcodice per ovviare al problema, riducendo sensibilmente i rischi di conseguenze reali. Anche lato sistemi operativi sono state prese contromisure, con Apple che ha agito in modo tempestivo prevedendo le patch specifiche all’interno dell’aggiornamento 10.14.5 rilasciato ieri per macOS; simili correttivi sono inoltre presenti nel pacchetto di sicurezza 2019-003 per High Sierra e Sierra. L’impatto sulle prestazioni complessive viene dichiarato negligibile se non nullo nell’uso quotidiano.

Non si tratta in ogni caso di una mitigazione completa e, com’era già stato suggerito per Spectre e Meltdown, per ottenerla Apple propone la disattivazione di quella che si è rivelata e si sta rivelando la principale fonte delle falle: HyperThreading (presente nei Core i3 e i5 dual-core, Core i7 eccetto i modelli octa-core, Core i9). È una misura di fatto estrema, che può comportare cali di prestazioni sino al 40% in applicazioni che fanno uso parecchio intensivo della CPU e del multi-threading. Coloro che intendessero farlo, una volta applicati gli ultimi aggiornamenti di sicurezza su macOS dovranno riavviare il Mac in modalità Recovery tenendo premuti Cmd+R, entrare nel menu Utility, aprire il Terminale e digitare i seguenti comandi, riavviando infine il computer da  -> Riavvia:

nvram boot-args="cwae=2"

nvram SMTDisable=%01

In caso di ripensamenti, per riattivare HyperThreading si dovrà resettare la NVRAM (che comporterà la perdita di altre impostazioni salvate come volume e luminosità), tenendo premuta la combinazione di tasti Alt+Cmd+P+R all’accensione del Mac e rilasciandola dopo il secondo “bong” o la seconda comparsa del logo Apple. Ripetiamo comunque che la disabilitazione di HyperThreading è una extrema ratio per la massima sicurezza, da compiersi consci delle conseguenze sul piano prestazionale; nell’operatività quotidiana, un sistema mantenuto perfettamente aggiornato è da ritenersi già sufficientemente protetto.