O que é Foreshadow?
Especificamente, o Foreshadow ataca o recurso SGX (Software Guard Extensions) da Intel. Isso é incorporado nos chips da Intel para permitir que os programas criem "enclaves" seguros que não podem ser acessados, mesmo por outros programas no computador. Mesmo se o malware estivesse no computador, ele não conseguiria acessar o enclave seguro, em teoria. Quando o Specter e o Meltdown foram anunciados, os pesquisadores de segurança descobriram que a memória protegida por SGX era imune a ataques de Specter e Meltdown.
Há também dois ataques relacionados, que os pesquisadores de segurança estão chamando de “Foreshadow - Next Generation”, ou Foreshadow-NG. Isso permite o acesso a informações no Modo de gerenciamento do sistema (SMM), no kernel do sistema operacional ou em um hipervisor da máquina virtual. Em teoria, o código em execução em uma máquina virtual em um sistema poderia ler informações armazenadas em outra máquina virtual no sistema, mesmo que essas máquinas virtuais devam estar completamente isoladas.
Foreshadow e Foreshadow-NG, como Specter e Meltdown, usam falhas na execução especulativa. Os processadores modernos adivinham o código que eles acham que podem ser executados em seguida e o executam preventivamente para economizar tempo. Se um programa tentar executar o código, ótimo - já foi feito e o processador sabe os resultados. Caso contrário, o processador pode lançar os resultados fora.
No entanto, essa execução especulativa deixa algumas informações para trás. Por exemplo, com base em quanto tempo um processo de execução especulativa leva para executar determinados tipos de solicitações, os programas podem inferir quais dados estão em uma área da memória, mesmo que não consigam acessar essa área de memória. Como os programas mal-intencionados podem usar essas técnicas para ler a memória protegida, eles podem até acessar os dados armazenados no cache L1. Essa é a memória de baixo nível na CPU onde as chaves criptográficas seguras são armazenadas. É por isso que esses ataques também são conhecidos como "L1 Terminal Fault" ou L1TF.
Para aproveitar o Foreshadow, o invasor precisa apenas executar o código em seu computador. O código não exige permissões especiais - pode ser um programa de usuário padrão sem acesso ao sistema de baixo nível ou mesmo software em execução em uma máquina virtual.
Desde o anúncio do "Specter and Meltdown", vimos um fluxo constante de ataques que abusam da funcionalidade de execução especulativa. Por exemplo, o Bypass de Armazenamento Específico (SSB) ataca os processadores afetados da Intel e da AMD, bem como alguns processadores ARM. Foi anunciado em maio de 2018.
O Foreshadow é usado na natureza?
Foreshadow foi descoberto por pesquisadores de segurança. Esses pesquisadores têm uma prova de conceito, em outras palavras, um ataque funcional, mas não estão lançando isso no momento. Isso dá a todos tempo para criar, liberar e aplicar patches para proteger contra o ataque.
Como você pode proteger seu PC
A maioria dos PCs com Windows só precisa de atualizações do sistema operacional para se proteger da Foreshadow, de acordo com o comunicado de segurança oficial da Microsoft. Basta executar o Windows Update para instalar os patches mais recentes. A Microsoft diz que não percebeu nenhuma perda de desempenho ao instalar esses patches.
Alguns PCs também podem precisar do novo microcódigo da Intel para se protegerem. A Intel diz que estas são as mesmas atualizações de microcódigo que foram lançadas no começo deste ano. Você pode obter um novo firmware, se ele estiver disponível para o seu PC, instalando as atualizações mais recentes do UEFI ou do BIOS do fabricante do seu PC ou da placa-mãe. Você também pode instalar atualizações de microcódigo diretamente da Microsoft.
O que os administradores de sistemas precisam saber
Os PCs que executam o software de hipervisor para máquinas virtuais (por exemplo, o Hyper-V) também precisarão de atualizações para esse software de hipervisor. Por exemplo, além de uma atualização da Microsoft para o Hyper-V, o VMWare lançou uma atualização para seu software de máquina virtual.
Os sistemas que usam o Hyper-V ou a segurança baseada em virtualização podem precisar de alterações mais drásticas. Isso inclui a desativação do hyper-threading, que reduz a velocidade do computador. A maioria das pessoas não precisará fazer isso, mas os administradores do Windows Server que executam o Hyper-V nos processadores da Intel precisarão considerar seriamente a desativação do hyper-thread no BIOS do sistema para manter suas máquinas virtuais seguras.
Provedores de nuvem como o Microsoft Azure e o Amazon Web Services também estão corrigindo seus sistemas para proteger máquinas virtuais em sistemas compartilhados contra ataques.
Patches podem ser necessários para outros sistemas operacionais também. Por exemplo, o Ubuntu lançou atualizações do kernel do Linux para proteger contra esses ataques. A Apple ainda não comentou sobre este ataque.
Especificamente, os números CVE que identificam essas falhas são CVE-2018-3615 para o ataque à Intel SGX, CVE-2018-3620 para o ataque ao sistema operacional e modo de gerenciamento do sistema, e CVE-2018-3646 para o ataque à gerenciador de máquinas virtuais.
Em um post no blog, a Intel disse que está trabalhando em melhores soluções para melhorar o desempenho enquanto bloqueia explorações baseadas em L1TF. Esta solução aplicará a proteção somente quando necessário, melhorando o desempenho.A Intel diz que já forneceu microcódigo de CPU de pré-lançamento com esse recurso para alguns parceiros e está avaliando lançá-lo.
Finalmente, a Intel observa que “o L1TF também é abordado pelas mudanças que estamos fazendo no nível do hardware”. Em outras palavras, os futuros processadores da Intel conterão melhorias de hardware para melhor proteção contra ataques de Specter, Meltdown, Foreshadow e outros ataques baseados em execução especulativa. menor perda de desempenho.
