NOTA: A Microsoft lançou o Aviso de Segurança 18002 na quarta-feira, 3 de janeiro de 2018, para mitigar uma vulnerabilidade massiva nas arquiteturas de computadores modernos com o Windows. A ESET lançou no mesmo dia o módulo Antivírus e Antispyware 1533.3 para todos os clientes com o propósito de garantir que o uso de nossos produtos não afete a compatibilidade com o patch da Microsoft.

Contexto

Os primeiros dias de 2018 foram repletos de discussões sobre uma vulnerabilidade massiva na arquitetura de processadores baseados no Core da Intel usados em dispositivos por muitos anos, bem como em processadores ARM comumente usados em tablets e smartphones.

Até o momento da produção deste post, nem todos os detalhes foram divulgados, mas, aparentemente, o problema é que os programas que funcionam em modo-usuário (o intervalo “normal” de memória no qual são executados aplicativos e software) em um computador podem inferir ou "ver" algumas das informações armazenadas no modo-kernel (a faixa de memória "protegida" usada para conter o sistema operacional, seus drivers de dispositivo e informações confidenciais, como senhas e certificados criptográficos).

As correções para evitar que os programas de modo-usuário "fisgoneen" na memória do modo-kernel estão sendo lançadas por fornecedores de sistemas operacionais, hipervisores e até empresas de cloud computing, mas parece que a rodada inicial de patches retardará os sistemas operacionais até certo ponto. O alcance exato desta desaceleração está aberta ao debate. A Intel afirmou que a redução no desempenho "não será significativa" para a maioria dos usuários, mas o site Phoronix (cuja temática principal é o Linux) afirma que as penalidades de desempenho podem ir de 5-30%, dependendo do que o computador esteja executando.

História

Um longo tópico do Reddit intitulado "Intel bug incoming" tem acompanhado a vulnerabilidade desde que as informações começaram a aparecer em 2 de janeiro de 2018. Ars Technica e The Register também realizaram uma cobertura excelente.

O fabricante de processadores AMD anunciou que não são afetados, de acordo com relatórios do CNBC e uma mensagem na Linux Kernel Mailing List enviada por um engenheiro da AMD. No entanto, tanto os Project Zero do Google como da Microsoft indicam que os processadores AMD foram afetados, tornando a situação menos clara.

O artigo da Microsoft destaca que esse problema não é específico do Windows e que também afeta o Android, o Chrome OS, o iOS e o macOS. O aviso do Red Hat inclui a arquitetura IBM POWER como vulnerável. Por sua vez, os fabricantes de hipervisores como o VMWare e o Xen publicaram seus próprios avisos, assim como o Amazon Web Services.

Fabricantes Afetados

Aqui está uma lista de fabricantes afetados e seus respectivos avisos e/ou anúncios de patches:

Fabricante Aviso/Anúncio
Amazon (AWS) AWS-2018-013: Processor Speculative Execution Research Disclosure
AMD An Update on AMD Processor Security
Apple HT208331: About the security content of macOS High Sierra 10.13.2, Security Update 2017-002 Sierra, and Security Update 2017-005 El Capitan
HT208394: About speculative execution vulnerabilities in ARM-based and Intel CPUs
ARM Vulnerability of Speculative Processors to Cache Timing Side-Channel Mechanism
Azure Securing Azure customers from CPU vulnerability
Microsoft Cloud Protections Against Speculative Execution Side-Channel Vulnerabilities
Google's Project Zero Reading Privileged Memory with a Side-Channel
IBM Potential CPU Security Issue
Intel INTEL-SA-00088 Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method
Microsoft Security Advisory 180002: Guidance to mitigate speculative execution side-channel vulnerabilities
Windows Client guidance for IT Pros to protect against speculative execution side-channel vulnerabilities
Windows Server guidance to protect against speculative execution side-channel vulnerabilities
SQL Server Guidance to protect against speculative execution side-channel vulnerabilities
Important information regarding the Windows security updates released on January 3, 2018 and anti-virus software
Mozilla Mozilla Foundation Security Advisory 2018-01: Speculative execution side-channel attack ("Spectre")
Red Hat Kernel Side-Channel Attacks – CVE-2017-5754 CVE-2017-5753 CVE-2017-5715
VMware NEW VMSA VMSA-2018-0002 VMware ESXi, Workstation and Fusion updates address side-channel analysis due to speculative execution
Xen Advisory XSA-254: Information leak via side effects of speculative execution

Detalhes técnicos

A confusão sobre as marcas de CPUs afetadas pode ser devido ao fato de não ser uma única vulnerabilidade, mas duas muito semelhantes, chamadas Meltdown e Spectre pelos respectivos descobridores. Essas vulnerabilidades possuem três números CVE (um padrão quase governamental para rastrear vulnerabilidades de segurança) atribuídos a cada uma delas:

Número CVE Descrição
CVE-2017-5715 Branch Target Injection, explorado pelo Spectre
CVE-2017-5753 Bounds Check Bypass, explorado pelo Spectre
CVE-2017-5754 Rogue Data Cache Load, explorado pelo Meltdown

Durante muitos anos, os fabricantes de processadores (como a Intel) conseguiram corrigir falhas na arquitetura de processadores através de atualizações de microcódigo, que escrevem uma atualização para o próprio processador a fim de corrigir o bug. Por uma razão ou razões (não explicados até agora), essa vulnerabilidade não pode ser corrigida dessa maneira nos processadores da Intel, por isso, os fabricantes de sistemas operacionais colaboraram com a Intel para liberar patches para as vulnerabilidades.

O aviso de segurança da Intel (INTEL-SA-00088 Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method) lista 44 famílias de processadores afetados, cada um dos quais pode conter dezenas de modelos. A ARM Limited divulgou um aviso intitulado "Vulnerability of Speculative Processors to Cache Timing Side-Channel Mechanism” que atualmente lista 10 modelos de processadores afetados.

A resposta da ESET

Como mencionado no início deste post, a ESET lançou a atualização 1533.3 do módulo Antivírus e Antispyware na quarta-feira, 3 de janeiro de 2017, para todos os clientes com o intuito de garantir a compatibilidade com as atualizações da Microsoft nos sistemas operacionais Windows. A ESET está trabalhando junto com fornecedores de hardware e software para mitigar os riscos que essas vulnerabilidades implicam.

Para mais informações, veja os seguintes artigos (em inglês):

Por favor, confira periodicamente esses artigos e reveja este post para verificar novas atualizações à medida que as novas informações surgirem.

Um agradecimento especial para os meus colegas Tony Anscombe, Richard Baranyi, Bruce P. Burrell, Shane Curtis, Nick Fitzgerald, David Harley, Elod K., James R., Peter Stancik, Marek Z. e Righard Zweinenberg pela colaboração na produção deste post.