Meltdown e Spectre – FAQ sobre os ataques contra CPUs Intel
Um resumo do que você precisa saber sobre a falha de design nos processadores Intel que ameaça a segurança de computadores em todo o mundo.
Observação: Este FAQ é um resumo da página “oficial” publicada pelos pesquisadores que identificaram a falha. A página original está disponível aqui. Informações complementares vão sendo adicionadas conforme disponível. Leia também o post anterior deste blog sobre o mesmo assunto.
Meltdown e Spectre exploram vulnerabilidades críticas nos processadores, permitindo que programas possam roubar dados sendo processados nos computadores. Tipicamente, programas não podem ler dados de outros programas em execução, mas um programa malicioso pode usar o Meltdown e Spectre para obter segredos armazenados na memória de outros programas em execução, o que pode incluir senhas, fotos, emails, mensagens instantâneas e informações de negócio.
Essas vulnerabilidades afetam computadores pessoais, dispositivos móveis e a nuvem. Dependendo da infraestrutura do provedor de serviços em nuvem, pode ser possível roubar dados de outros clientes.
Meltdown
Meltdown quebra o isolamento fundamental entre as aplicações de usuário e o sistema operacional. Este ataque permite que um programa acesse a memória, e portanto segredos, de outros programas e do sistema operacional.
Se seu computador tem um processador vulnerável e roda uma versão não corrigida do sistema operacional, não é seguro trabalhar com informações sensíveis sem o risco de vazamento da informação. Isto afeta computadores pessoais e infraestrutura na nuvem.
Spectre
Spectre quebra o isolamento entre diferentes aplicações. Ele permite que um atacante induza programas sem erros e que seguem as melhores práticas a vazar seus segredos.
O Spectre é mais difícil de ser explorado do que o Meltdown, mas é também mais difícil de ser corrigido. Atualizações de software podem mitigar o risco.
FAQ – Meltdown e Spectre
Este bug me afeta?
Quase com certeza, sim.
Consigo detectar se alguém tentou usar o Meltdown ou Spectre contra mim?
Provavelmente não. O ataque não deixa traços em arquivos de log tradicionais.
Meu antivirus pode detectar ou bloquear este ataque?
Ainda que seja possível na teoria, é pouco provável na prática. Ao contrário de malware tradicional, é difícil distinguir o Meltdown e Spectre de aplicações benígnas comuns. Entretanto, seu antivírus pode vir a detectar malware que use estes ataques depois que se tornarem conhecidos.
O que pode ser vazado?
Se seu sistema está vulnerável, a prova de conceito mostrou ser possível ler conteúdo da memória do seu computador. Isto pode incluir senhas e informações sensíveis armazenadas no sistema.
O Meltdown ou Spectre já foram usados na internet em ataques?
Não sabemos.
Existe alguma correção?
Os fabricantes estão desenvolvendo patches contra o Meltdown, como o KPTI (antigo projeto KAISER) no Linux. A Microsoft está liberando os patches para sua plataforma junto com as atualizações de segurança de janeiro, para aqueles dispositivos compatíveis. A Apple já teria corrigido a falha no MacOS High Sierra na versão 10.13.2. Também existem trabalhos sendo desenvolvidos para proteger software do ataque Spectre. A correção completa pode ainda depender de atualizações de firmware do fabricante do seu hardware. Serviços na nuvem devem ser corrigidos pelo provedor do serviço. Por exemplo, a Microsoft informa já ter aplicado as correções para os seus serviços na nuvem.
Mais informações sobre correções e medidas adicionais de segurança na plataforma Microsoft podem ser obtidas neste Security Advisory. Além disso, recomendamos a leitura deste artigo do suporte da Microsoft, referente à questões de compatibilidade de software antivírus de terceiros com o patch que podem causar tela azul da morte em sistemas Windows. Mais informações ao final deste post.
Como usuário pessoal, o que devo fazer?
Assegure-se que seu computador ou dispositivo está baixando automaticamente as atualizações de segurança. No caso da Microsoft, isto é feito via o serviço Windows Update. A correção estará disponível para Windows 7 Service Pack 1 e todas as versões posteriores do Windows.
A correção causa algum impacto?
Como discutido no post anterior, os patches terão que corrigir por software a forma de trabalho do processador, tirando certas páginas de memória que normalmente já estariam em cache e que ajudam a acelerar o processamento. Com isto, é esperada alguma redução de performance. Embora seja impossível dizer antecipadamente qual o impacto, ele deve ser mais percebido em computadores mais antigos. Em computadores com processadores mais novos o impacto pode ser pequeno o suficiente para nem chegar a ser notado pelos usuários. Em computadores mais antigos, este impacto pode ser significativo.
Que sistemas são afetados pelo Meltdown?
Desktops, Laptops, servidores e serviços na nuvem. Tecnicamente, qualquer processador Intel que implemente execução out-of-order, efetivamente todos os processadores desde 1995 (exceto Itanium e Atom antes de 2013). O Meltdown já foi demonstrado com sucesso em processadores Intel das gerações a partir de 2011. Até o momento, não está claro se processadores ARM e AMD também são afetados.
Que sistemas são afetados pelo Spectre?
Quase qualquer sistema: Desktops, Laptops, servidores, serviços na nuvem e smartphones. Mais especificamente, qualquer processador moderno capaz de manter diversas instruções ativas é potencialmente vulnerável. O ataque já foi verificado em processasdores Intel, AMD e ARM.
Provedores de nuvem que usem CPUs Intel e virtualização Xen PV sem os patches e também virtualização por hardware que compartilhem um mesmo kernel, como Docker, LXC, ou OpenVZ também são afetados.
Quais os CVEs associados?
Os CVEs (os IDs na base de dados de vulnerabilidades mantidos pela MITRE) são CVE-2017-5753 e CVE-2017-5715 para o Meltdown e CVE-2017-5754 para o Spectre. CVE
Posso ver o Meltdown em ação?
Onde posso ver as recomendações de segurança dos fabricantes afetados?
| Intel | Security Advisory / Newsroom |
|---|---|
| Microsoft | Security Guidance |
| Amazon | Security Bulletin |
| ARM | Security Update |
| Project Zero Blog | |
| MITRE | CVE-2017-5715 / CVE-2017-5753 / CVE-2017-5754 |
| Red Hat | Vulnerability Response |
Pesquisadores responsáveis pela descoberta dos bugs
- Jann Horn of Google Project Zero
- Paul Kocher
- Moritz Lipp from Graz University of Technology
- Daniel Genkin from University of Pennsylvania and University of Maryland
- Daniel Gruss from Graz University of Technology
- Werner Haas of Cyberus Technology GmbH
- Mike Hamburg of Rambus Security Division
- Stefan Mangard from Graz University of Technology
- Thomas Prescher of Cyberus Technology GmbH
- Michael Schwarz from Graz University of Technology
- Yuval Yarom of The University of Adelaide and Data61
- Additional information on the Meltdown and Spectre attacks can be found at their respective web sites.
- Anders Fogh of GDATA Advanced Analytics
Informações complementares
- A Microsoft antecipou os patches de janeiro incluindo a correção do Meltdown. Já estão disponíveis via Windows Update.
- A correção é apenas para sistemas x64. Sistemas x86 também são afetados mas o impacto da correção na performance é muito grande e a Microsoft está neste momento “estudando alternativas junto com os fabricantes de hardware”.
- Hosts que rodam aplicações de usuários diferentes são particularmente vulneráveis. Isto inclui servidores de virtualização (Hyper-V) e Remote Desktop Services.
- Vmware também precisa de patch, mas ainda não estão liberados. Verhttps://blogs.vmware.com/security/2018/01/vmsa-2018-0002.html para mais informações.
- A correção do Windows pode ocasionar tela azul em sistemas que rodem antivírus que não sejam compatíveis. Para prevenir isto, mesmo que o fix seja instalado, ele só se ativará se determinadas chaves no registro estiverem presentes. Estas chaves devem ser instaladas pelos antivírus compatíveis. Entretanto, a maioria dos fabricantes de antivírus só foi notificada dia 02 sobre a vulnerabilidade e poucos já disponibilizaram as alterações. Ou seja, não basta só aplicar o patch, tem que atualizar o AV também.
- A chave que deve estar presente para indicar que o AV é compatível é esta: Key=”HKEY_LOCAL_MACHINE” Subkey=”SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat”Value=”cadca5fe-87d3-4b96-b7fb-a231484277cc” Type=”REG_DWORD”. Lembrando, quem cria esta chave é o próprio AV, não adianta forçar a mão que pode dar tela azul.
- Windows Defender e Windows Security Essentials já foram atualizados e são compatíveis com o patch.
- Pelo impacto na performance, é preciso ativá-lo. Para ativar as funcionalidades do patch, é preciso acrescentar as seguintes chaves no registro, reforçando que isto pode causar impacto na performance dos servidores dependendo se é físico ou virtual, qual o hardware e qual o workload. Lembrete: Alterações indevidas no Registry podem levar à danos irreparáveis ao sistema operacional. Execute por sua conta e risco.
- reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management” /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
- o reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management” /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
- Para desativar o patch, rodar:
-
- reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management” /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
- reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management” /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /
- A Microsoft disponibilizou um modulo Powershell para verificar se o host está protegido. Ele requer o Windows Management Framework 5.1, que pode ser baixado para Win7 e Win2012 aqui: https://www.microsoft.com/en-us/download/details.aspx?id=54616
- Instalar e rodar o módulo com os comandos abaixo:
- o PS > Install-Module SpeculationControl
- o PS > Get-SpeculationControlSettings
-
- Se o resultado der false, o host está vulnerável para aquele item.
- Necessário também acompanhar atualizações de firmware do fabricante OEM do hardware.
- Links relevantes:
- https://support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe
- https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution-s
- https://support.microsoft.com/en-us/help/4072699/important-information-regarding-the-windows-security-updates-released
