Threat Brief: Meltdown e Spectre

Palo Alto Networks explica vulnerabilidades em chips e como proceder

Compartilhar:

Nas últimas 48 horas, houve uma onda de atividade entre os fornecedores de hardware e software para endereçar dois conjuntos de vulnerabilidades que foram denominadas “Meltdown” e “Spectre”. Em 3 de janeiro de 2018, pesquisadores, incluindo do Google Project Zero, divulgaram informações sobre três novas vulnerabilidades:

CVE-2017-5753: bounds check bypass
CVE-2017-5715: branch target injection
CVE-2017-5754: rogue data cache load

Eles agruparam essas vulnerabilidades sob os nomes “Spectre” (CVE-2017-5753 e CVE-2017-5715) e “Meltdown” (CVE-2017-5754). Detalhes abrangentes sobre ambos estão disponíveis em meltdownattack.com. Até o momento, não há ataques ativos conhecidos utilizando qualquer uma dessas vulnerabilidades.

 

Vulnerabilidades

Essas vulnerabilidades apresentam uma situação única porque, em última análise, são vulnerabilidades baseadas em hardware. Todas as três provêm de problemas em processadores modernos e são conhecidas por afetar chips Intel e ARM. A vulnerabilidade dos chips AMD não está clara até o momento.

 

Como essas vulnerabilidades afetam os processadores na camada física, a única forma de trata-las por completo é substituir os processadores ou atualizar seus firmwares. Até que isso aconteça, os fabricantes de sistemas operacionais podem (e devem) liberar patches que tornam as vulnerabilidades da camada física inacessíveis. Para todos os efeitos, isso “corrige” as vulnerabilidades.

 

Os detalhes técnicos completos sobre as vulnerabilidades estão disponíveis nos sites referenciados acima. Mas o ponto chave para entender essas vulnerabilidades é que elas são de divulgação de informações que podem permitir que processos e aplicações acessem informações que de outra forma não deveriam ser capazes: aplicações “user-mode” podem acessar informações privilegiadas no kernel e em todo o sistema operacional.

 

Para sistemas e dispositivos de usuários finais comuns, malwares e scripts mal-intencionados podem usar essas vulnerabilidades para acessar informações como nomes de usuário, senhas e informações da conta.

 

Para ambientes de hospedagem compartilhada, como fornecedores de nuvem pública, isso significa que um cliente hospedado poderia acessar as informações de qualquer outro cliente hospedado no mesmo hardware.

 

Com base na análise das vulnerabilidades, surge um consenso da indústria que as proteções genéricas contra ataques visando essas vulnerabilidades serão difíceis, se não impossíveis de se desenvolver. Isso significa que a prevenção terá que se concentrar em malwares específicos, ataques e sites de hospedagem à medida que surgirem.

 

Avaliação de risco

Como essas são vulnerabilidades de divulgação de informações, elas não representam o mesmo perigo imediato como WannaCry / WanaCrypt0r ou Petya / NotPetya. Elas são mais parecidas com o Heartbleed, de 2014.

 

Em termos da gravidade das próprias vulnerabilidades: são importantes, mas não críticas. Eles são de divulgação de informações, não execução de código. A maior área de risco está em cenários de hospedagem compartilhada. Felizmente, a maioria dos provedores de nuvem já implantou atualizações de segurança e aqueles que não, devem faze-las em breve.

 

Para os usuários finais e gerentes de redes, o maior risco que essas vulnerabilidades representam é a exploração por malware que procura reunir informações como nomes de usuário e senhas de sistemas.

 

O que torna essas vulnerabilidades notáveis do ponto de vista da avaliação de risco é a amplitude da exposição. Uma vez que elas potencialmente afetam quase todos os dispositivos com um processador moderno, isso significa que a mitigação e a correção podem não ser possíveis. Os sistemas mais antigos (como o Windows XP) e dispositivos (como smartphones Android mais antigos e dispositivos IoT) provavelmente nunca receberão correções para essas vulnerabilidades.

 

Ações a serem tomadas

As ações a serem tomadas em resposta a este evento são claras e simples:

Os usuários de serviços de hospedagem compartilhada (nuvem) devem confirmar com seu provedor de serviços a aplicação das atualizações de segurança para resolver essas vulnerabilidades.

Administradores e usuários finais devem implantar atualizações de segurança em todos os sistemas e dispositivos assim que estiverem disponíveis.

Administradores e usuários finais devem considerar aposentar o mais rápido possível sistemas e dispositivos que não serão atualizados.

Os administradores e os usuários finais devem usar segurança abrangente de rede e endpoint que podem ajudar a prevenir ataques que buscam explorar essas vulnerabilidades.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Anatel abre consulta para habilitar avaliação de Segurança em aparelhos móveis

Medida visa aumentar a proteção de dados corporativos e dos consumidores, e as contribuições podem ser feitas até 29 de...
Security Report | Overview

Deepfakes: Os desafios da Era da Informação manipulada

Diversas situações cotidianas recentes demonstraram a necessidade de manter atenção redobrada aos deepfakes que circulam nas redes, devido a sua...
Security Report | Overview

Hacktivismo puxa aumento de ataques DDoS no Brasil, alerta especialista

Pesquisadores da Check Point Software voltam a alertar sobre a ascensão de ataques de hackers em nome de ideologias e...
Security Report | Overview

EUA e Reino Unido movem sanções conjuntas em resposta a ciberataques chineses

Especialistas da Check Point Software analisaram os ataques do grupo de hackers APT31, afiliado ao Estado chinês, contra os governos...