Empresa de segurança esclarece pontos interessantes sobre as vulnerabilidades Meltdown e Spectre

Recebemos da Unit 42, unidade de pesquisa da empresa de segurança Palo Alto Networks, alguns esclarecimentos bem interessantes sobre Meltdown e Spectre, as duas falhas de segurança mais comentadas no momento e que afetam diretamente os processadores, principalmente os da Intel. 

As falhas foram descobertas e classificadas pelos pesquisadores do Google Project Zero. A divisão é a seguinte:

• CVE-2017-5753: bounds check bypass
• CVE-2017-5715: branch target injection
• CVE-2017-5754: rogue data cache load

Eles agruparam essas vulnerabilidades sob os nomes de “Spectre” (CVE-2017-5753 e CVE-2017-5715) e “Meltdown” (CVE-2017-5754). Detalhes abrangentes sobre ambos estão disponíveis em meltdownattack.com. Até o momento, não há ataques ativos conhecidos utilizando qualquer uma dessas vulnerabilidades.

Visão Geral:

• As vulnerabilidades Meltdown e Spectre são graves
• Essas vulnerabilidades são abrangentes e afetam potencialmente quase todos os computadores e dispositivos com um processador moderno: Microsoft Windows, Google Android, Google ChromeOS, Apple MacOS, em processadores Intel e ARM
• Estas não são vulnerabilidades de execução de código (por exemplo, wormable): são vulnerabilidades para revelar informações
• Essas vulnerabilidades representam maior risco em cenários de hospedagem compartilhada (por exemplo, nuvem)
• O risco que essas vulnerabilidades representam para os usuários finais é que o código ou script malicioso pode usá-las para obter informações confidenciais como nomes de usuário, senhas e informações da conta bancária
• Devido à amplitude dessas vulnerabilidades, dispositivos IoT e muitos dispositivos móveis podem nunca receber correções
• Todos devem agir para aplicar atualizações de segurança o mais rápido possível
• Patches já estão disponíveis para a maioria das principais plataformas
• Todos devem atualizar seus sistemas e dispositivos o mais rápido possível
• Os usuários do serviço em nuvem provavelmente não precisam agir: a maioria dos provedores está atualizando sua infraestrutura para proteger-se contra essas vulnerabilidades; verifique com seu fornecedor

A Unit42 destaca que essas vulnerabilidades apresentam uma situação única porque, em última análise, são vulnerabilidades baseadas em hardware. Todas as três provêm de problemas em processadores modernos e são conhecidas por afetar chips Intel e ARM. A vulnerabilidade dos chips AMD não está clara até o momento.

Como essas vulnerabilidades afetam os processadores na camada física, a única forma de trata-las por completo é substituir os processadores ou atualizar seus firmwares. Até que isso aconteça, os fabricantes de sistemas operacionais podem (e devem) liberar patches que tornam as vulnerabilidades da camada física inacessíveis. Para todos os efeitos, isso “corrige” as vulnerabilidades.

Microsoft libera atualização que corrige brecha de segurança em CPUs Intel

O ponto chave para entender essas vulnerabilidades é que elas são de divulgação de informações que podem permitir que processos e aplicações acessem informações que de outra forma não deveriam ser capazes: aplicações “user-mode” podem acessar informações privilegiadas no kernel e em todo o sistema operacional.

Para sistemas e dispositivos de usuários finais comuns, malwares e scripts mal-intencionados podem usar essas vulnerabilidades para acessar informações como nomes de usuário, senhas e informações da conta.

Para ambientes de hospedagem compartilhada, como fornecedores de nuvem pública, isso significa que um cliente hospedado poderia acessar as informações de qualquer outro cliente hospedado no mesmo hardware.

Com base na análise das vulnerabilidades, surge um consenso da indústria que as proteções genéricas contra ataques visando essas vulnerabilidades serão difíceis, se não impossíveis de se desenvolver. Isso significa que a prevenção terá que se concentrar em malwares específicos, ataques e sites de hospedagem à medida que surgirem.

Em termos da gravidade das próprias vulnerabilidades: são importantes, mas não críticas. Eles são de divulgação de informações, não execução de código.

A maior área de risco está em cenários de hospedagem compartilhada. Felizmente, a maioria dos provedores de nuvem já implantou atualizações de segurança e aqueles que não, devem faze-las em breve.

Para os usuários finais e gerentes de redes, o maior risco que essas vulnerabilidades representam é a exploração por malware que procura reunir informações como nomes de usuário e senhas de sistemas.

O que torna essas vulnerabilidades notáveis do ponto de vista da avaliação de risco é a amplitude da exposição. Uma vez que elas potencialmente afetam quase todos os dispositivos com um processador moderno, isso significa que a mitigação e a correção podem não ser possíveis. Os sistemas mais antigos (como o Windows XP) e dispositivos (como smartphones Android mais antigos e dispositivos IoT) provavelmente nunca receberão correções para essas vulnerabilidades.

Ações a serem aplicadas:

• Os usuários de serviços de hospedagem compartilhada (nuvem) devem confirmar com seu provedor de serviços a aplicação das atualizações de segurança para resolver essas vulnerabilidades.
• Administradores e usuários finais devem implantar atualizações de segurança em todos os sistemas e dispositivos assim que estiverem disponíveis.
• Administradores e usuários finais devem considerar aposentar o mais rápido possível sistemas e dispositivos que não serão atualizados.
• Os administradores e os usuários finais devem usar segurança abrangente de rede e endpoint que podem ajudar a prevenir ataques que buscam explorar essas vulnerabilidades.

Você também deve ler! 

Atualização que corrige brecha de segurança dos processadores Intel interfere no desempenho? Fizemos o teste

Intel se pronuncia e diz que grave falha de segurança de seus processadores também pode ser encontrada na concorrência