Feliz Ano Novo! Três grandes falhas de segurança na Intel, AMD, ARM e outros processadores foram divulgadas na quarta-feira (3 de janeiro). A Microsoft lançou um patch de emergência para todas as versões com suporte do Windows, incluindo Windows 7, Windows 8.1 e Windows 10, mas acrescentou que os usuários também devem aplicar atualizações de firmware quando forem disponibilizadas pelos fabricantes de dispositivos. O Google corrigiu a falha no Android com a atualização de janeiro de 2022-2023, publicada na terça-feira (2 de janeiro), embora apenas dispositivos gerenciados pelo Google a tenham por agora. Patches para macOS, iOS e Linux podem ainda não estar totalmente disponíveis.
Dois ataques de prova de conceito, apelidados de "Meltdown" e "Spectre", exploram essas três falhas, que dizem respeito à maneira como os processadores de computador modernos lidam com a memória em execução de aplicativos e o sistema central, ou kernel, nos sistemas operacionais atuais.
"Meltdown e Spectre funcionam em computadores pessoais, dispositivos móveis e na nuvem", dizem os sites dedicados a cada falha, que têm conteúdo idêntico. "Dependendo da infraestrutura do provedor de nuvem, pode ser possível roubar dados de outros clientes."
Uma postagem no blog do Google explicou que as falhas possibilitaram que "uma parte não autorizada pudesse ler informações confidenciais na memória do sistema, como senhas, chaves de criptografia ou informações confidenciais abertas em aplicativos".
O Meltdown apaga os limites entre os processos do kernel e os processos do usuário e parece estar confinado aos chips Intel. Spectre rouba dados de aplicativos em execução e também funciona em chips AMD e ARM. Os sites Spectre e Meltdown não detalham como os vários chipsets usados em dispositivos móveis foram afetados.
A AMD, no entanto, negou que tenha sido afetada por qualquer uma das falhas.
"A AMD não é suscetível a todas as três variantes", disse a empresa à CNBC. "Devido às diferenças na arquitetura da AMD, acreditamos que haja um risco quase zero para os processadores AMD neste momento."
O que fazer
Se você usa o Windows 7, 8.1 ou 10, deve aplicar a atualização de segurança do Windows lançada hoje. As primeiras versões dos patches foram enviadas aos usuários do Windows Insider em novembro e dezembro.
"Estamos no processo de implantação de atenuações para serviços em nuvem e lançamos atualizações de segurança hoje para proteger os clientes do Windows contra vulnerabilidades que afetam os chips de hardware suportados da AMD, ARM e Intel", disse em parte um comunicado da Microsoft. "Não recebemos nenhuma informação que indique que essas vulnerabilidades tenham sido usadas para atacar nossos clientes."
No entanto, existem algumas armadilhas. Primeiro, a menos que você esteja executando um laptop ou tablet provisionado pela Microsoft, como Surface, Surface Pro ou Surface Book, você também terá que aplicar uma atualização de firmware do fabricante do seu computador.
"Os clientes que instalarem apenas as atualizações de segurança do Windows em janeiro de 2022-2023 não receberão o benefício de todas as proteções conhecidas contra as vulnerabilidades", disse um documento de suporte da Microsoft publicado online. "Além de instalar as atualizações de segurança de janeiro, é necessária uma atualização de microcódigo do processador ou firmware. Isso deve estar disponível através do fabricante do seu dispositivo. Os clientes do Surface receberão uma atualização do microcódigo por meio da atualização do Windows."
Em segundo lugar, a Microsoft está insistindo para que os clientes tenham certeza de que têm um software antivírus "compatível" em execução antes de aplicar o patch. Em um documento separado que explica o novo patch de segurança, a Microsoft afirma que apenas as máquinas que executam esse tipo de software receberão o patch automaticamente.
Não está claro exatamente o que a Microsoft quer dizer com software antivírus "compatível" ou por que a Microsoft insiste que esse software deve estar na máquina antes da aplicação do patch. Há um link para um documento que deveria explicar tudo isso, mas, no momento em que este documento foi escrito, na noite de quarta-feira, o link não levou a lugar nenhum.
Por último, a Microsoft admite que há "impactos potenciais no desempenho" associados aos patches. Em outras palavras, depois de aplicar os patches, sua máquina pode funcionar mais lentamente.
“Para a maioria dos dispositivos de consumo, o impacto pode não ser perceptível”, afirma o comunicado. "No entanto, o impacto específico varia de acordo com a geração e implementação de hardware pelo fabricante do chip."
Para executar manualmente o Windows Update, clique no botão Iniciar, clique no ícone de engrenagem Configurações, clique em Atualizações e segurança e clique em Verificar atualizações.
Os usuários da Apple devem instalar atualizações futuras clicando no ícone da Apple, selecionando App Store, clicando em Atualizações e clicando em Atualizar ao lado de qualquer item da Apple. Houve um relatório não confirmado no Twitter de que a Apple já havia corrigido as falhas com o macOS 10.13.2 no início de dezembro, mas os números de identificação de vulnerabilidade (CVEs) cobertos nos patches da Apple de dezembro não correspondem aos atribuídos a Meltdown e Spectre.
As máquinas Linux também exigirão patches e parece que algo pode estar quase pronto. Como mencionado acima, o patch de segurança do Android de janeiro de 2022-2023 corrige a falha, embora apenas uma pequena porcentagem dos dispositivos Android o receba por enquanto. (Não está claro quantos dispositivos Android são suscetíveis.)
Como funcionam os ataques
O ataque Meltdown, que até onde os pesquisadores sabem, afeta apenas os chips Intel desenvolvidos desde 1995 (exceto a linha Itanium e a linha Atom pré-2013), permite que programas regulares acessem informações do sistema que deveriam estar protegidas. Essas informações são armazenadas no kernel, o centro profundamente recuado do sistema do qual as operações do usuário nunca devem chegar.
"O Meltdown quebra o isolamento mais fundamental entre os aplicativos do usuário e o sistema operacional", explicaram os sites Meltdown e Spectre. "Este ataque permite que um programa acesse a memória e, portanto, também os segredos de outros programas e do sistema operacional."
"Se o seu computador tem um processador vulnerável e executa um sistema operacional sem patch, não é seguro trabalhar com informações confidenciais sem a chance de vazar as informações."
O Meltdown foi nomeado assim porque "basicamente derrete os limites de segurança que são normalmente impostos pelo hardware."
Para consertar a falha associada, a memória do kernel precisaria ser ainda mais isolada dos processos do usuário, mas há um problema. Parece que a falha existe em parte porque o compartilhamento de memória entre o kernel e os processos do usuário permite que os sistemas sejam executados mais rapidamente, e interromper esse compartilhamento pode diminuir o desempenho da CPU.
Alguns relatórios afirmam que as correções podem desacelerar os sistemas em até 30%. Nossos colegas da Tom's Hardware acham que o impacto no desempenho do sistema seria muito menor.
Specter, por outro lado, é universal e "quebra o isolamento entre diferentes aplicativos", afirmam os sites. "Ele permite que um invasor engane programas sem erros, que seguem as melhores práticas, para que vazem seus segredos. Na verdade, as verificações de segurança dessas melhores práticas aumentam a superfície de ataque e podem tornar os aplicativos mais suscetíveis ao Spectre."
"Todos os processadores modernos capazes de manter muitas instruções em vôo são potencialmente vulneráveis" para Spectre. "Em particular, verificamos Spectre em processadores Intel, AMD e ARM."
Os sites continuam explicando que a detecção de tais ataques seria quase impossível e que o software antivírus só poderia detectar malware que entrasse no sistema antes de lançar os ataques. Eles dizem que Specter é mais difícil de executar do que Meltdown, mas não há evidências de que ataques semelhantes tenham sido lançados "na selva".
No entanto, eles disseram que o Spectre, assim chamado porque abusa da execução especulativa, um processo comum de chipset, "vai nos assombrar por um bom tempo".
A arte perdida de manter um segredo
Intel, AMD e ARM foram informados pelo Google sobre essas falhas em junho de 2022-2023, e todas as partes envolvidas tentaram manter tudo em segredo até que os patches estivessem prontos na próxima semana. Mas os especialistas em segurança da informação que não sabiam do segredo sabiam que algo grande estava por vir.
As discussões nos fóruns de desenvolvimento do Linux diziam respeito a revisões radicais no tratamento do sistema operacional da memória do kernel, mas nenhum detalhe foi revelado. Pessoas com endereços de e-mail da Microsoft, Amazon e Google estavam misteriosamente envolvidas. Excepcionalmente, as revisões deviam ser portadas para várias versões anteriores do Linux, indicando que um grande problema de segurança estava sendo corrigido.
Isso desencadeou alguns dias de teorias da conspiração no Reddit e no 4chan. Na segunda-feira (1º de janeiro), um blogueiro que se autodenomina Python Sweetness "conectou os pontos invisíveis" em uma longa postagem detalhando vários desenvolvimentos paralelos entre os desenvolvedores do Windows e do Linux a respeito do manuseio da memória do kernel.
Tarde de terça-feira (2 de janeiro). O Register agregou muitas informações semelhantes. Ele também observou que a Amazon Web Services estaria realizando manutenção e reiniciando seus servidores em nuvem na próxima sexta-feira à noite (5 de janeiro). e que o Azure Cloud da Microsoft tinha algo semelhante planejado para 10 de janeiro.
A barragem estourou na quarta-feira, quando um pesquisador de segurança holandês twittou que havia criado um bug de prova de conceito que parecia explorar pelo menos uma das falhas.
Às 3 da tarde. EST Quarta-feira, a Intel, que tinha visto suas ações despencarem cerca de 10 por cento nas negociações daquele dia, emitiu um comunicado de imprensa que minimizou as falhas e, conseqüentemente, suas ações recuperaram algum terreno. Mas a empresa admitiu que as falhas podem ser usadas para roubar dados e que ela e outros fabricantes de chips estão trabalhando para consertar o problema.
"A Intel e outros fornecedores planejaram divulgar este problema na próxima semana, quando mais atualizações de software e firmware estarão disponíveis", disse o comunicado. "No entanto, a Intel está fazendo esta declaração hoje por causa dos atuais relatórios imprecisos da mídia."
Às 17h, Daniel Gruss, um estudante de pós-doutorado em segurança da informação na Universidade Técnica de Graz, na Áustria, apresentou-se para anunciar o Meltdown and Spectre. Ele disse a Zack Whittaker da ZDNet que "quase todos os sistemas" baseados em chips Intel desde 1995 foram afetados pelas falhas. Acontece que o problema era ainda pior.
Gruss foi um dos sete pesquisadores de Graz que em outubro de 2022-2023 publicou um artigo técnico detalhando as falhas teóricas na maneira como o Linux lidava com a memória do kernel e propôs uma correção. Python Sweetness, o blogueiro pseudônimo mencionado no início desta história, aparentemente estava correto ao supor que aquele artigo era fundamental para a falha da Intel que estava sendo trabalhada agora.
Às 6 da tarde. Os sites EST, Spectre e Meltdown foram ao ar, junto com uma postagem no blog do Google detalhando a pesquisa da própria empresa. Acontece que duas equipes descobriram Meltdown independentemente e três equipes diferentes encontraram Spectre ao mesmo tempo. O Projeto Zero do Google e a equipe de Gruss em Graz participaram de ambos.
Crédito da imagem: Natascha Eidl / Domínio público
- 12 erros de segurança do computador que você provavelmente está cometendo
- Melhor proteção antivírus para PC, Mac e Android
- A segurança do seu roteador fede: veja como consertar