NOTA: A Microsoft lançou o Aviso de Segurança 18002 na quarta-feira, 3 de janeiro de 2018, para mitigar uma vulnerabilidade massiva nas arquiteturas de computadores modernos com o Windows. A ESET lançou no mesmo dia o módulo Antivírus e Antispyware 1533.3 para todos os clientes com o propósito de garantir que o uso de nossos produtos não afete a compatibilidade com o patch da Microsoft.
Contexto
Os primeiros dias de 2018 foram repletos de discussões sobre uma vulnerabilidade massiva na arquitetura de processadores baseados no Core da Intel usados em dispositivos por muitos anos, bem como em processadores ARM comumente usados em tablets e smartphones.
Até o momento da produção deste post, nem todos os detalhes foram divulgados, mas, aparentemente, o problema é que os programas que funcionam em modo-usuário (o intervalo “normal” de memória no qual são executados aplicativos e software) em um computador podem inferir ou "ver" algumas das informações armazenadas no modo-kernel (a faixa de memória "protegida" usada para conter o sistema operacional, seus drivers de dispositivo e informações confidenciais, como senhas e certificados criptográficos).
As correções para evitar que os programas de modo-usuário "fisgoneen" na memória do modo-kernel estão sendo lançadas por fornecedores de sistemas operacionais, hipervisores e até empresas de cloud computing, mas parece que a rodada inicial de patches retardará os sistemas operacionais até certo ponto. O alcance exato desta desaceleração está aberta ao debate. A Intel afirmou que a redução no desempenho "não será significativa" para a maioria dos usuários, mas o site Phoronix (cuja temática principal é o Linux) afirma que as penalidades de desempenho podem ir de 5-30%, dependendo do que o computador esteja executando.
História
Um longo tópico do Reddit intitulado "Intel bug incoming" tem acompanhado a vulnerabilidade desde que as informações começaram a aparecer em 2 de janeiro de 2018. Ars Technica e The Register também realizaram uma cobertura excelente.
O fabricante de processadores AMD anunciou que não são afetados, de acordo com relatórios do CNBC e uma mensagem na Linux Kernel Mailing List enviada por um engenheiro da AMD. No entanto, tanto os Project Zero do Google como da Microsoft indicam que os processadores AMD foram afetados, tornando a situação menos clara.
O artigo da Microsoft destaca que esse problema não é específico do Windows e que também afeta o Android, o Chrome OS, o iOS e o macOS. O aviso do Red Hat inclui a arquitetura IBM POWER como vulnerável. Por sua vez, os fabricantes de hipervisores como o VMWare e o Xen publicaram seus próprios avisos, assim como o Amazon Web Services.
Fabricantes Afetados
Aqui está uma lista de fabricantes afetados e seus respectivos avisos e/ou anúncios de patches:
Detalhes técnicos
A confusão sobre as marcas de CPUs afetadas pode ser devido ao fato de não ser uma única vulnerabilidade, mas duas muito semelhantes, chamadas Meltdown e Spectre pelos respectivos descobridores. Essas vulnerabilidades possuem três números CVE (um padrão quase governamental para rastrear vulnerabilidades de segurança) atribuídos a cada uma delas:
Número CVE | Descrição |
---|---|
CVE-2017-5715 | Branch Target Injection, explorado pelo Spectre |
CVE-2017-5753 | Bounds Check Bypass, explorado pelo Spectre |
CVE-2017-5754 | Rogue Data Cache Load, explorado pelo Meltdown |
Durante muitos anos, os fabricantes de processadores (como a Intel) conseguiram corrigir falhas na arquitetura de processadores através de atualizações de microcódigo, que escrevem uma atualização para o próprio processador a fim de corrigir o bug. Por uma razão ou razões (não explicados até agora), essa vulnerabilidade não pode ser corrigida dessa maneira nos processadores da Intel, por isso, os fabricantes de sistemas operacionais colaboraram com a Intel para liberar patches para as vulnerabilidades.
O aviso de segurança da Intel (INTEL-SA-00088 Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method) lista 44 famílias de processadores afetados, cada um dos quais pode conter dezenas de modelos. A ARM Limited divulgou um aviso intitulado "Vulnerability of Speculative Processors to Cache Timing Side-Channel Mechanism” que atualmente lista 10 modelos de processadores afetados.
A resposta da ESET
Como mencionado no início deste post, a ESET lançou a atualização 1533.3 do módulo Antivírus e Antispyware na quarta-feira, 3 de janeiro de 2017, para todos os clientes com o intuito de garantir a compatibilidade com as atualizações da Microsoft nos sistemas operacionais Windows. A ESET está trabalhando junto com fornecedores de hardware e software para mitigar os riscos que essas vulnerabilidades implicam.
Para mais informações, veja os seguintes artigos (em inglês):
- ESET Customer Advisory 2018-001: Spectre and Meltdown Vulnerabilities Discovered
- ESET Newsroom: Meltdown & Spectre: How to protect yourself from these CPU security flaws
- ESET Support Alert 6644: ESET can stop malware that in the future may use Spectre and Meltdown vulnerabilities
Por favor, confira periodicamente esses artigos e reveja este post para verificar novas atualizações à medida que as novas informações surgirem.
Um agradecimento especial para os meus colegas Tony Anscombe, Richard Baranyi, Bruce P. Burrell, Shane Curtis, Nick Fitzgerald, David Harley, Elod K., James R., Peter Stancik, Marek Z. e Righard Zweinenberg pela colaboração na produção deste post.