Foreshadow, também conhecido como L1 Terminal Fault, é outro problema com a execução especulativa nos processadores Intel. Ele permite que o software malicioso entre em áreas seguras que até mesmo o Spectre e Meltdown as falhas não podiam quebrar.
O que é Foreshadow?
Especificamente, Foreshadow ataca o recurso Software Guard Extensions (SGX) da Intel. Isso é integrado aos chips Intel para permitir que os programas criem “enclaves” seguros que não podem ser acessados, mesmo por outros programas no computador. Mesmo se o malware estivesse no computador, ele não poderia acessar o enclave seguro - em teoria. Quando Specter e Meltdown foram anunciados, os pesquisadores de segurança descobriram que a memória protegida por SGX era imune a ataques Specter e Meltdown.
Há também dois ataques relacionados, que os pesquisadores de segurança estão chamando de “Foreshadow - Next Generation” ou Foreshadow-NG. Eles permitem o acesso às informações no modo de gerenciamento do sistema (SMM), o kernel do sistema operacional ou um hipervisor de máquina virtual. Em teoria, o código executado em uma máquina virtual em um sistema poderia ler informações armazenadas em outra máquina virtual no sistema, mesmo que essas máquinas virtuais devam estar completamente isoladas.
Foreshadow e Foreshadow-NG, como Specter e Meltdown, usam falhas na execução especulativa. Os processadores modernos adivinham o código que eles acham que pode ser executado em seguida e o executam preventivamente para economizar tempo. Se um programa tentar executar o código, ótimo - isso já foi feito e o processador sabe os resultados. Caso contrário, o processador pode descartar os resultados.
No entanto, essa execução especulativa deixa algumas informações para trás. Por exemplo, com base em quanto tempo um processo de execução especulativa leva para realizar certos tipos de solicitações, os programas podem inferir quais dados estão em uma área da memória - mesmo se eles não puderem acessar essa área da memória. Como os programas maliciosos podem usar essas técnicas para ler a memória protegida, eles podem até mesmo acessar os dados armazenados no cache L1. Esta é a memória de baixo nível na CPU onde as chaves criptográficas seguras são armazenadas. É por isso que esses ataques também são conhecidos como “Falha do Terminal L1” ou L1TF.
Para tirar vantagem do Foreshadow, o invasor precisa apenas ser capaz de executar o código no seu computador. O código não requer permissões especiais - pode ser um programa de usuário padrão sem acesso ao sistema de baixo nível ou até mesmo software em execução dentro de uma máquina virtual.
Desde o anúncio de Specter e Meltdown, vimos um fluxo constante de ataques que abusam da funcionalidade de execução especulativa. Por exemplo, o Ataque de desvio de armazenamento especulativo (SSB) processadores Intel e AMD afetados, bem como alguns processadores ARM. Foi anunciado em maio de 2018.
RELACIONADOS: Como as falhas de fusão e espectro afetarão meu PC?
O Foreshadow está sendo usado na selva?
O Foreshadow foi descoberto por pesquisadores de segurança. Esses pesquisadores têm uma prova de conceito - em outras palavras, um ataque funcional - mas eles não o estão lançando neste momento. Isso dá a todos tempo para criar, lançar e aplicar patches para se proteger contra o ataque.
Como você pode proteger seu PC
Observe que apenas PCs com chips Intel são vulneráveis ao Foreshadow em primeiro lugar. Os chips AND não são vulneráveis a essa falha.
A maioria dos PCs com Windows precisa apenas de atualizações do sistema operacional para se proteger do Foreshadow, de acordo com o comunicado oficial de segurança da Microsoft. Somente execute o Windows Update para instalar os patches mais recentes. Microsoft diz não percebeu nenhuma perda de desempenho com a instalação desses patches.
Alguns PCs também podem precisar de um novo microcódigo Intel para se proteger. Intel diz estes são os mesmos atualizações de microcódigo que foram lançados no início deste ano. Você pode obter um novo firmware, se estiver disponível para o seu PC, por instalar as atualizações mais recentes de UEFI ou BIOS do fabricante do seu PC ou placa-mãe. Você também pode instalar atualizações de microcódigo diretamente da Microsoft .
RELACIONADOS: Como manter seu PC com Windows e aplicativos atualizados
O que os administradores de sistema precisam saber
PCs com software hipervisor para máquinas virtuais (por exemplo, Hoper-B ) também precisará de atualizações para esse software hipervisor. Por exemplo, além de uma atualização da Microsoft para Hyper-V, VMWare lançou uma atualização para seu software de máquina virtual.
Sistemas usando Hyper-V ou segurança baseada em virtualização pode precisar de mudanças mais drásticas. Isso inclui desabilitar hyper-threading , o que tornará o computador lento. A maioria das pessoas não precisará fazer isso, mas os administradores do Windows Server que executam o Hyper-V em CPUs Intel precisarão considerar seriamente a desativação do hyper-threading no BIOS do sistema para manter suas máquinas virtuais seguras.
Provedores de nuvem como Microsoft Azure e Amazon Web Services também estão corrigindo seus sistemas para proteger contra ataques as máquinas virtuais em sistemas compartilhados.
Patches podem ser necessários para outros sistemas operacionais também. Por exemplo, Ubuntu lançou atualizações do kernel do Linux para proteger contra esses ataques. A Apple ainda não comentou sobre este ataque.
Especificamente, os números CVE que identificam essas falhas são CVE-2018-3615 para o ataque ao Intel SGX, CVE-2018-3620 para o ataque ao sistema operacional e ao modo de gerenciamento do sistema, e CVE-2018-3646 para o ataque ao gerenciador de máquina virtual.
Em uma postagem de blog, Intel disse está trabalhando em soluções melhores para melhorar o desempenho enquanto bloqueia exploits baseados em L1TF. Esta solução aplicará a proteção somente quando necessário, melhorando o desempenho. A Intel afirma que já forneceu um microcódigo de CPU de pré-lançamento com esse recurso para alguns parceiros e está avaliando o seu lançamento.
Por fim, a Intel observa que “o L1TF também é abordado por mudanças que estamos fazendo no nível do hardware”. Em outras palavras, as futuras CPUs da Intel conterão melhorias de hardware para melhor proteção contra Spectre, Meltdown, Foreshadow e outros ataques baseados em execução especulativa com menos perda de desempenho.
Crédito da imagem: Robson90 /Shutterstock.com, Foreshadow .
