Pokročilí používatelia počítačov Mac, ktorí sa nachádzajú v prostredí obzvlášť silných nepriateľských hrozieb, môžu cítiť potrebu povoliť úplné zmiernenie zraniteľnosti procesora Intel MDS na svojich počítačoch Mac (a PC v tomto prípade). MDS je skratka pre Microarchitectural Data Sampling (MDS), hovorovo nazývaná „Zombieload“ a ide v podstate o zraniteľnosť samotného procesora Intel, ktorá by teoreticky mohla viesť k prístupu útočníka k citlivým údajom na akomkoľvek napadnutom počítači Intel, Macu alebo PC.(Ak pozorne sledujete bezpečnostné správy, zraniteľnosť Zombieload je niečo ako bezpečnostné chyby Spectre a Meltdown minulý rok).

Zatiaľ čo spoločnosť Apple aplikovala bezpečnostné záplaty na macOS Mojave 10.14.5 a Security Update 2019-003 pre High Sierra a Sierra, ktoré by mali pomôcť predchádzať problémom pre väčšinu používateľov počítačov Mac, ostatných používateľov počítačov Mac pracujúcich v rámci nezvyčajne zvýšeného zabezpečenia rizikové prostredia môžu cítiť potrebu ísť ďalej a umožniť úplné zmiernenie proti MDS / Zombieload.

Povolenie úplného zmiernenia zraniteľnosti Intel MDS zahŕňa zakázanie hyper-threadingu na samotnom CPU, čo môže viesť k približne 40 % zníženiu výkonu počítača. To je očividne dosť vážny zásah do výkonu, a preto by sa s tým veľká väčšina ľudí nemala obťažovať, pretože veľká väčšina ľudí sa tiež nebude nachádzať v prostredí bezpečnostnej hrozby, ktorá by ich vystavila riziku, že budú terčom tohto druhu zraniteľnosti.

Ak vás však obzvlášť znepokojuje vektor útoku Zombieload / MDS na počítačoch Mac s procesorom Intel, nižšie si preberieme, ako povoliť úplné zmiernenie útoku.

Ako povoliť úplné zmiernenie Zombieload / MDS na počítačoch Intel Mac

Pamätajte, že ak chcete povoliť úplné prispôsobenie MDS / Zombieload na Macu, musíte vypnúť hyper-threading CPU, čo bude mať za následok vážny zásah do výkonu. Prevažná väčšina používateľov počítačov Mac by sa s tým nemala obťažovať.

Upozorňujeme, že počítač Mac musí používať MacOS Mojave, macSO Sierra, MacOS High Sierra alebo novší.

1. Najprv nainštalujte MacOS Mojave 10.14.5 alebo Security Update 2019 pre High Sierra alebo Security Update 2019 pre Sierra (alebo novší) na Mac
2. Prejdite do ponuky  Apple a výberom možnosti „Reštartovať“ reštartujte Mac
3. Po reštartovaní ihneď podržte Command+R, aby sa Mac spustil do režimu obnovenia
4. Keď sa dostanete na obrazovku Utilities, roztiahnite ponuku „Utilities“ na paneli s ponukami a vyberte „Terminal“
5. Napíšte nasledujúci príkaz a potom stlačte return
"

nvram boot-args=cwae=2"

6. Ďalej zadajte nasledujúci príkaz a znova stlačte kláves return:

nvram SMTDisable=%01

7. Prejdite do ponuky  Apple a výberom možnosti „Reštartovať“ reštartujte Mac

Tieto pokyny na úplné zmiernenie rizika pochádzajú priamo od spoločnosti Apple.

Ako vrátiť úplné zmiernenie MDS a povoliť Hyper-Threading na Mac

Ak chcete vrátiť úplné zmiernenie Zombieload / MDS a znova povoliť hyper-threading na CPU, budete musieť resetovať Mac NVRAM / PRAM, aby ste odstránili definovanú zmenu nvram vykonanú v úplné zmiernenie. Toto je rovnaké na všetkých modeloch Mac:

• Vypnite Mac
• Zapnite Mac, potom okamžite stlačte a podržte súčasne klávesy COMMAND OPTION PR
• Na približne 20 sekúnd súčasne podržte stlačené klávesy COMMAND OPTION PR, potom uvoľnite
• Po zaznení druhého zvonenia pri spúšťaní (na počítačoch Mac, ktoré prehrávajú zvuk spúšťania) alebo po zobrazení loga Apple (Mac s čipom T2) uvoľnite klávesy

Mac sa teraz spustí ako zvyčajne s resetovaním NVRAM, opätovným povoleným hyper-threadingom a úplným zmiernením MDS už nie je na mieste.

Ak si nie ste istí, čo je nastavené, premenné NVRAM na Macu môžete zobraziť aj z príkazového riadka.

Upozorňujeme, že ak používate heslo firmvéru, možno ho budete musieť dočasne vypnúť, aby ste mohli efektívne resetovať NVRAM.

Čo je vlastne MDS / Zombieload?

Ďalšie informácie o MDS / Zombieload, ako aj o procese zmierňovania, si možno budete chcieť pozrieť v článku podpory od spoločnosti Apple, ktorý popisuje riziko MDS a úplné zmiernenie takto:

Povolenie úplného zmiernenia navyše zahŕňa zakázanie hyper-threadingu na procesore Intel, čo môže výrazne znížiť výkon. Apple to popisuje takto:

Tiež by vás mohlo zaujímať viac informácií o vzorkovaní mikroarchitektonických údajov (MDS) priamo od spoločnosti Intel tu na Intel.com.

Ďalším zdrojom informácií o Zombieload / MDS je oficiálna webová stránka na zverejnenie Zombieload Attack tu, ktorú vytvorili výskumníci, ktorí našli bezpečnostnú chybu. Video nižšie od týchto bezpečnostných výskumníkov demonštruje, že útok Zombieload sa používa na zhromažďovanie informácií z cieľového stroja napriek použitiu TOR obsiahnutého vo virtuálnom stroji (vážne bezpečnostné fuj!).

Opäť, väčšina používateľov počítačov Mac (a PC) sa nebude musieť príliš obávať týchto bezpečnostných zraniteľností a pravdepodobne sa nebude musieť obťažovať úplným zmiernením zakázaním hyper-threadingu. Jednoduchá inštalácia macOS Mojave 10.14.5 a príslušnej aktualizácie zabezpečenia 2019-003 pre High Sierra a/alebo Sierra pomáha odvrátiť potenciálne riziká pre väčšinu používateľov Macu. A ako vždy, nikdy neinštalujte žiadny útržkovitý alebo nedôveryhodný softvér, pretože by to malo tiež výrazne pomôcť, pretože takmer všetky tieto typy zraniteľností sa v prvom rade spoliehajú na nejakú formu malvéru.