Nova falha assustadora da Intel pode desacelerar a Internet

Em uma obra-prima de divulgação coordenada, Intel, Microsoft, Red Hat e um grupo de pesquisadores acadêmicos ontem (14 de agosto) notificaram simultaneamente o mundo de três falhas mais sérias da CPU da Intel que podem ter um impacto na computação nos próximos anos.

O primeiro dos três bugs é chamado L1TF (L1 Terminal Flaw) ou Foreshadow, dependendo de para quem você perguntar, e os outros dois derivam dele, mas vamos discuti-los coletivamente por uma questão de brevidade.

Como as vulnerabilidades Spectre e Meltdown, as falhas de L1TF / Foreshadow envolvem execução especulativa, um processo no qual CPUs modernas se adiantam ao adivinhar ou, bem, prever quais serão seus próximos passos.

A boa notícia é que a maioria das máquinas de consumo e local de trabalho são afetadas por apenas uma ou duas dessas falhas, e que as atualizações de firmware e sistema operacional já fornecidas por fornecedores de hardware e software (mais significativamente pela Microsoft ontem) irão mitigar amplamente todas as três. O que você precisa fazer é manter seus sistemas operacionais corrigidos e implementar as atualizações de firmware do fornecedor do hardware.

A má notícia é que os servidores em nuvem, que fornecem back-end para muitos aplicativos de smartphones e dispositivos domésticos inteligentes, são fortemente afetados pela terceira falha, e a correção pode diminuir os tempos de resposta entre milhares de serviços baseados na Internet.

Além disso, todas essas atenuações aos chips existentes são, na verdade, apenas curativos. A Intel diz que os novos chips Cascade Lake que serão lançados no Natal serão imunes a ataques de execução especulativa, mas os problemas não ficarão realmente para trás até que todos os Intel CPUS atualmente afetados sejam eliminados e substituídos por uma nova geração.

MAIS: Meltdown e Spectre: como proteger seu PC, Mac e telefone

As falhas do L1TF / Foreshadow foram divulgadas em particular para a Intel no início de janeiro, logo após Specter e Meltdown serem publicamente revelados, por pesquisadores da Katholieke Universiteit Leuven, na Bélgica, e novamente algumas semanas depois por uma equipe combinada da Universidade de Michigan, Technion Israel Institute of Technology, a University of Adelaide e o grupo de pesquisa Data61 do governo australiano.

Depois que essa história foi publicada pela primeira vez, a Intel nos contatou com esta declaração: "L1 Terminal Fault é corrigido por atualizações de microcódigo lançadas no início deste ano, juntamente com atualizações correspondentes para o sistema operacional e software de hipervisor que estão disponíveis a partir de hoje."

Como funcionam as falhas

Todas as três falhas envolvem acesso não autorizado ao cache L1, um pequeno pedaço de memória embutido em CPUs modernas para acessar dados rapidamente. As CPUs controlam o que está no cache L1 usando tabelas de página e, para economizar tempo e avançar na corrida pela velocidade da CPU, eles adivinham onde certos bits de dados estão na tabela de páginas sem realmente saber ao certo, e agem sobre esse palpite. Se o palpite estiver errado (e geralmente não estão), os dados são declarados como "falha terminal" e descartados.

Essa falha possibilita que um processo malicioso em execução no espaço do usuário visualize os dados de falha do terminal antes de serem descartados. Se esperar o tempo suficiente, o processo malicioso pode acumular informações descartadas suficientes para recriar muito do que está no cache L1.

Existem vários vídeos do YouTube que explicam tudo, mas o vídeo de três minutos do Red Hat (há um mais longo que dura quase 11 minutos) talvez resuma isso melhor.

A primeira falha, que é a falha "adequada" L1TF / Foreshadow e recebeu o nome de referência CVE-2018-3615, afeta o Software Guard Extensions (SGX) da Intel, um recurso em todos os processadores Skylake, Kaby Lake e Coffee Lake - basicamente todas as CPUs Intel lançadas desde meados de 2015 - que cria enclaves virtuais seguros na memória em execução.

O SGX bloqueia certos processos do resto do sistema operacional para que as infecções por malware, mesmo aqueles executados com altos privilégios, não possam alcançá-los. É usado para aplicativos e processos que exigem segurança pesada, embora o desenvolvimento para SGX seja demorado e não pareça haver muitos aplicativos de consumidor que tiram proveito disso.

Um invasor pode aproveitar essa falha para abusar da execução especulativa, seguindo os threads que levam aos processos SGX e, em seguida, replicando o enclave SGX em outro lugar na memória. Apesar de os processos SGX serem criptografados, eles devem ser descriptografados antes de serem usados pelo cache de memória da CPU L1, e é nesse momento que a primeira vulnerabilidade L1TF os expõe.

A segunda falha, CVE-2018-3620 ou Foreshadow-NG parte 1, afeta os sistemas operacionais diretamente ao ler informações de seus kernels, e não apenas do Windows, mas também do macOS e dos vários sabores do Linux. Afeta praticamente todos os processadores Intel Core e Xeon lançados desde cerca de 2008.

Como já observado, a Microsoft lançou várias atenuações do Windows e as principais distribuições do Linux também disponibilizaram patches. Como de costume, a Apple está calada por enquanto, mas pode apostar que a empresa já está no caso.

A terceira falha, CVE-2018-3646 ou Foreshadow-NG parte 2, é talvez a mais significativa e afeta as máquinas virtuais (VMs), que são instâncias independentes de sistemas operacionais executados no mesmo computador.

Você pode executar máquinas virtuais aninhadas em computadores pessoais, como executando uma máquina virtual Windows dentro do macOS ou Linux. Em um servidor, as máquinas virtuais geralmente são executadas em paralelo e são governadas por um programa mestre de fantoches denominado hipervisor. A linha é meio confusa entre os dois, já que o Parallels no Mac e o software de desktop VMWare são tecnicamente hipervisores.

A Intel sugere que apenas VMs governadas por hipervisor em servidores são vulneráveis, enquanto a Microsoft sugere que algumas máquinas de consumo podem ser.

Como as máquinas virtuais em uma única máquina devem compartilhar o hardware, essa terceira falha possibilita que um processo em execução em uma VM acesse a memória usada por uma VM diferente. Isso é um não-não, pois significa que o malware na primeira VM pode roubar informações da outra. Pior ainda, a falha possibilita que processos maliciosos entrem nas tabelas de páginas do hipervisor.

Você não gostaria que seus chats de discussão no Slack terminassem na conta Netflix de outra pessoa, mas como ambas as empresas usam os servidores em nuvem AWS da Amazon, isso é teoricamente o que poderia acontecer. (A Amazon entrou em contato conosco depois que esta história foi publicada pela primeira vez para esclarecer que os servidores AWS foram corrigidos contra essas falhas antes de sua divulgação pública.)

A mitigação da Intel para a terceira falha limpa o cache de memória L1 ao alternar entre as VMs e evita a criação de tabelas de páginas maliciosas. Mas também pode exigir o desligamento de um processo de aumento de velocidade conhecido como hyperthreading, que cria dois núcleos de processador virtual a partir de um único físico.

Quando esperar uma solução

A verdadeira correção virá com o Cascade Lake da Intel, com lançamento previsto para o final de 2022-2023, que supostamente terá arquiteturas que impedirão a exploração baseada nas famílias de vulnerabilidades Meltdown, Specter e L1TF / Foreshadow. Mas dada a taxa em que novos bugs de execução especulativa estão sendo revelados, não estamos prendendo a respiração.

Imagem: ForeshadowAttack.eu/ Domínio público