Mais de um ano se passou desde que pesquisadores de segurança revelaram o Meltdown e o Spectre, um par de falhas encravadas em recursos arcaicos de milhões de chips vendidos pela Intel e pela AMD, colocando em risco praticamente todos os computadores do mundo. Mas, mesmo enquanto os fabricantes de chips se esforçavam para consertar essas falhas, os pesquisadores advertiram que eles não eram o fim da história, mas o começo — que elas representavam uma nova classe de vulnerabilidades de segurança que sem dúvida surgiriam de novo e de novo. Agora, alguns desses mesmos pesquisadores descobriram mais uma falha nas entranhas mais profundas do hardware microscópico da Intel. Desta vez, ela pode permitir que invasores escutem praticamente todos os dados brutos tocados pelo processador da vítima.
Hoje, a Intel e um supergrupo coordenado de pesquisadores de segurança de microarquitetura anunciam juntos uma forma nova e séria de vulnerabilidade hackeável nos chips da Intel. São quatro ataques distintos, na verdade, embora todos usem uma técnica semelhante, e todos são capazes de desviar um fluxo de dados potencialmente sensíveis da CPU de um computador para um invasor.
Ataques MDS
Os pesquisadores são da universidade austríaca TU Graz, da holandesa Vrije Universiteit Amsterdam, da Universidade de Michigan, da australiana Universidade de Adelaide, da KU Leuven na Bélgica, do Worcester Polytechnic Institute, da Saarland University na Alemanha e das firmas de segurança Cyberus, BitDefender, Qihoo360 e Oracle. Os grupos nomearam variantes das técnicas de exploração ZombieLoad, Fallout e RIDL, ou Rogue In-Flight Data Load. A própria Intel rotulou mais brandamente o novo conjunto de ataques como Microarchitectural Data Sampling, ou MDS.
A Intel pediu a todos os pesquisadores — que se dividiram em dois grupos que trabalham de forma independente — que mantivessem suas descobertas em segredo, em alguns casos por mais de um ano, até que pudessem liberar correções para as vulnerabilidades. Mas, ao mesmo tempo, a empresa tem procurado minimizar a gravidade dos bugs, de acordo com os pesquisadores, que alertam que os ataques representam uma falha séria no hardware da Intel que pode exigir a desativação de alguns de seus recursos, mesmo além do patch da empresa — o “remendo” que consertaria o defeito. Os chips AMD e ARM não parecem estar vulneráveis aos ataques, e a Intel diz que alguns modelos de chips lançados no mês passado incluem uma correção para o problema. Caso contrário, todos os chips da Intel testados pelos pesquisadores, remontando a 2008, foram afetados. Você pode testar se o seu sistema é afetado usando uma ferramenta que os pesquisadores publicaram aqui.
Assim como o Meltdown e o Spectre, o novo ataque MDS aproveita as falhas de segurança em como os chips Intel desempenham algo chamado execução especulativa, um recurso no qual um processador adivinha antecipadamente quais operações e dados ele será solicitado a executar, a fim de acelerar o processamento feito pelo chip.
Nesses novos casos, os pesquisadores descobriram que podiam usar a execução especulativa para enganar os processadores da Intel para que capturassem dados confidenciais que estão se movendo de um componente de um chip para outro. Ao contrário do Meltdown, que usava a execução especulativa para capturar dados sensíveis na memória, os ataques MDS se concentravam nos buffers — áreas de armazenamento temporário — que ficam entre os componentes de um chip, como entre um processador e seu cache, a pequena porção de memória destinada manter à mão do processador dados frequentemente acessados por ele.
“É como se tratássemos a CPU como uma rede de componentes, e basicamente ficássemos escutando o tráfego entre eles”, diz Cristiano Giuffrida, um dos pesquisadores do grupo VUSec da Vrije Universiteit Amsterdam, que descobriu o ataque da MDS. “Ouvimos qualquer coisa que esses componentes trocam”.
Isso significa que qualquer invasor que possa executar um programa em um chip alvo — seja na forma de um aplicativo mal-intencionado, uma máquina virtual hospedada no mesmo servidor em nuvem do destino ou até mesmo um site desonesto que executa Javascript no navegador do destino — poderia enganar a CPU de modo a fazê-la revelar dados que deveriam ser protegidas de código não confiável em execução nessa máquina. Esses dados podem incluir informações tais como em qual site o usuário está navegando, suas senhas ou as chaves secretas para descriptografar seu disco rígido criptografado.
“Em essência, [a MDS] coloca um copo na parede que separa os domínios de segurança, permitindo que os atacantes escutem o murmúrio de componentes da CPU”, diz uma linha de um documento da VUSec sobre as falhas, que será apresentado na próxima semana no IEEE Symposium on Security and Privacy.
‘Fácil de Fazer e Potencialmente Devastador’
As quatro diferentes variantes de ataque MDS tiram proveito de uma peculiaridade de como os chips da Intel realizam seu truque que economiza tempo. Na execução especulativa, uma CPU frequentemente segue uma ramificação de comandos no código antes de um programa solicitar ou adivinhar os dados que o programa estará solicitando, a fim de obter uma vantagem inicial. Pense nisso como um garçom preguiçoso oferecendo uma bebida aleatória de sua bandeja, na esperança de poupar-se uma viagem de volta para o bar. Se a CPU adivinha incorretamente, ela imediatamente a descarta. (Sob diferentes condições, o chip pode extrair dados de três buffers diferentes, daí os múltiplos ataques dos pesquisadores.)
Os projetistas de chips da Intel podem ter acreditado que um palpite errado, mesmo um que fornecesse dados confidenciais, não importava. “Ele joga fora esses resultados”, diz Guiffrida, da VUSec. “Mas ainda temos essa janela de vulnerabilidade que usamos para vazar as informações”.
Assim como no Meltdown e no Spectre, o código do invasor pode vazar os dados que o processador retirou do buffer por meio do cache do processador. Todo esse processo rouba no máximo alguns bytes de dados arbitrários de um dos buffers da CPU. Mas repita milhões de vezes seguidas e um invasor pode começar a vazar fluxos de todos os dados que a CPU está acessando em tempo real. Com alguns outros truques, um invasor de baixo privilégio pode fazer solicitações que persuadam uma CPU a extrair dados confidenciais, como chaves secretas e senhas, em seus buffers, onde são sugados pelo ataque do MDS. Esses ataques podem levar entre milissegundos e horas, dependendo dos dados de destino e da atividade da CPU. “É fácil de fazer e potencialmente devastador”, diz Herbort Bos, pesquisador da VUSec.
VUSec
A VUSec, por exemplo, criou uma prova de conceito, mostrada acima, que pode puxar senhas com hash — sequências de senhas criptografadas que podem ser quebradas por hackers — a partir do componente de um chip alvo chamado “line-fill buffer” (buffer de preenchimento de linha). O vídeo de TU Graz abaixo mostra uma demonstração simples em que um programa não confiável no computador pode determinar quais sites alguém visita.
Uma briga pela correção
Em uma ligação com a WIRED, a Intel disse que seus próprios pesquisadores foram os primeiros a descobrir as vulnerabilidades do MDS no ano passado, e que agora lançou correções para a falha no hardware e no software. Um patch de software para o ataque limpa todos os dados dos buffers sempre que o processador ultrapassa um limite de segurança, de modo que não possa ser roubado e vazado. A Intel afirma que o patch terá custos de desempenho “relativamente mínimos” na maioria dos casos, embora para algumas instâncias de data center possa reduzir a velocidade de seus chips em até 8 ou 9%. Para entrar em vigor, o patch terá que ser implementado por todos os sistemas operacionais, fornecedores de virtualização e outros fabricantes de software. A Apple diz que lançou uma correção como parte de uma atualização recente do Mojave e do Safari. O Google diz que também implementou atualizações para seus produtos afetados, assim como a Amazon. A Mozilla diz que uma correção está chegando, e um porta-voz da Microsoft disse que lançaria atualizações de segurança hoje para resolver o problema. “Estamos cientes desse problema de todo o setor e estamos trabalhando de perto com os fabricantes de chips afetados para desenvolver e testar mitigações para proteger nossos clientes”, diz o comunicado da empresa. “Estamos trabalhando para implantar mitigações nos serviços em nuvem e lançar atualizações de segurança para proteger os clientes do Windows contra vulnerabilidades que afetam os chips de hardware suportados”. A VMware não respondeu imediatamente à WIRED a uma pergunta sobre o status de seus patches.
Um patch de hardware mais permanente, que já foi incluído em alguns chips lançados pela Intel no mês passado, resolve o problema mais diretamente, impedindo que o processador extraia dados dos buffers durante a execução especulativa. “Para outros produtos afetados, a mitigação está disponível por meio de atualizações de microcódigo, juntamente com atualizações correspondentes ao sistema operacional e software hypervisor que estão disponíveis a partir de hoje”, diz uma declaração de um porta-voz da Intel.
Enquanto isso, no entanto, os pesquisadores e a Intel discordam sobre a gravidade do problema e sobre como fazer a triagem. Tanto a TU Graz quanto a VUSec recomendam que os fabricantes de software desativem o hyperthreading, um recurso dos chips da Intel que acelera o processamento, permitindo que mais tarefas sejam executadas em paralelo, mas que pode tornar certas variantes dos ataques MDS muito mais fáceis de serem executadas. A Intel insistiu em um telefonema com a WIRED que as falhas não garantem a desativação desse recurso, o que teria um alto custo de desempenho para os usuários. Na verdade, a empresa classificou as quatro vulnerabilidades como meramente de gravidade “baixa a média” — uma classificação que tanto os pesquisadores da TU Graz quanto da VUSec contestaram.
Os engenheiros da Intel argumentam, por exemplo, que, embora as vulnerabilidades do MDS possam revelar segredos, elas também vazam uma enorme quantidade de ruído das operações do computador. Mas os pesquisadores de segurança descobriram que podiam escanear com segurança essa saída bruta para encontrar as informações valiosas que procuravam. Para facilitar essa filtragem, eles mostraram que um invasor poderia enganar o processador para que ele vazasse o mesmo segredo repetidamente, ajudando a distingui-lo do ruído ao redor.
“Se estivermos atacando a criptografia do disco rígido, atacamos apenas no curto espaço de tempo quando a chave é carregada na memória, por isso temos uma grande chance de obter a chave e alguns outros dados”, diz Michael Schwarz, um dos pesquisadores da TU Graz que trabalharam nos novos ataques MDS e nas primeiras descobertas do Spectre e do Meltdown. “Alguns dos dados serão sempre os mesmos e outros dados serão alterados. Vemos o que ocorre com mais frequência e esses são os dados em que estamos interessados. Trata-se de estatística básica”.
Ou, como coloca Bos, da VUSec, “bebemos da mangueira de incêndio. Se você é esperto, e você processa as coisas com cuidado, você não se afoga e obtém tudo o que precisa. “
Diminuindo a gravidade
Tudo isso coloca em dúvida a classificação de gravidade da Intel para os ataques do MDS, argumentam os pesquisadores. Os pesquisadores da TU Graz, três dos quais trabalharam nos ataques Specter e Meltdown, classificam os ataques MDS aproximadamente entre essas duas vulnerabilidades anteriores, menos graves que o Meltdown, mas piores do que o Spectre. (Eles apontam que a Intel classificou Spectre e Meltdown com severidade média, também, um julgamento do qual eles discordaram na época.)
Giuffrida, da VUSec, observa que sua equipe recebeu US$ 100 mil da Intel por seu trabalho como parte do programa “bug bounty” da empresa, que premia os pesquisadores que alertam a empresa sobre falhas críticas. Isso dificilmente é o tipo de dinheiro pago por questões triviais, ressalta. Mas ele também diz que a Intel ofereceu à VUSec apenas uma recompensa de US$ 40.000, acompanhada de um “presente” de US $ 80.000 — que Giuffrida viu como uma tentativa de reduzir a recompensa citada publicamente e, portanto, a gravidade das falhas do MDS. A VUSec recusou a oferta de mais dinheiro em favor de uma recompensa que refletisse melhor a gravidade de suas descobertas, e ameaçou recusar o “bug bounty” em protesto. A Intel mudou sua oferta para os US$ 100 mil.
“Está claro o que a Intel está fazendo”, diz Giufrrida. “É do interesse deles dizer: ‘Não, depois de Specter e Meltdown, não ignoramos outras vulnerabilidades; é que eram tão pequenas que caíram’.” Em uma ligação com a WIRED, a Intel negou tentar manipular tamanho percebido da recompensa.
Embora possa parecer estranho que tantos pesquisadores tenham encontrado as falhas do MDS na mesma janela de tempo — pelo menos duas equipes independentes de sete organizações, além da própria Intel — os pesquisadores da TU Graz dizem que é esperado: as descobertas do Spectre e do Meltdown desbloquearam uma nova, profundamente complexa e inexplorada superfície de ataque para hackers, uma que poderia gerar graves e fundamentais falhas de segurança em hardware no futuro.
“Há ainda mais componentes, e muitos deles não são documentados, então não é improvável que isso continue por um tempo”, diz Moritz Lipp, da TU Graz. Seu colega pesquisador Daniel Gruss acrescenta: “Sempre esperávamos que isso nos mantivesse ocupados por anos”. Em outras palavras, não se surpreenda se mais furos ocultos forem encontrados no coração do processador do seu computador por muitos anos.
---
Atualizado em 14/05/19 5:30 EST com mais informações sobre atualizações de segurança de empresas afetadas.
Fonte: https://www.wired.com/story/intel-mds-attack-speculative-execution-buffer/
Nenhum comentário:
Postar um comentário