Uma equipe de acadêmicos de universidades de todo o mundo, juntamente com pesquisadores de vulnerabilidade da Bitdefender, divulgaram uma nova falha de segurança nos processadores Intel. Agora, segundo eles, as CPUs Intel vulneráveis a novos ataques LVI. O Load Value Injection, ou LVI, é uma nova classe de ataques teóricos contra as CPUs Intel.
Embora o ataque tenha sido considerado apenas uma ameaça teórica, a Intel lançou patches de firmware para atenuar os ataques às CPUs atuais. Porém, as correções serão implantadas no nível do hardware (design de silício) nas gerações futuras.
Um ataque de Meltdown
Para entender o que é um ataque LVI, os usuários devem primeiro estar cientes dos ataques Meltdown e Spectre, e mais particularmente do Meltdown.
Divulgado em janeiro de 2018, o ataque Meltdown permitiu que um invasor executando o código em uma CPU lesse dados da memória dela, enquanto a CPU estava processando operações “especulativas”.
A execução especulativa é um recurso de todas as CPUs modernas, em que a CPU calcula as informações antecipadamente, na tentativa de adivinhar resultados futuros. A ideia inteira da execução especulativa é ter os dados prontos para a CPU, se necessário, e ajudar a melhorar a velocidade e o desempenho da CPU.
Uma vez que os dados não são necessários, eles são descartados. Os ataques de Meltdown e Spectre direcionam os dados de destino enquanto estão neste estado “transitório” e aguardam para serem descartados.
Os ataques Meltdown e Spectre foram inovadores quando foram revelados pela primeira vez em 2018, mostrando uma grande falha nos projetos de CPUs modernas.
Com base nos ataques originais, acadêmicos de todo o mundo posteriormente expandiram a pesquisa original e descobriram uma classe inteira dos chamados “ataques transitórios” que também vazavam dados das CPUs em seus estados de execução especulativos “transitórios”.
Outros ataques
Além de Meltdown e Spectre, outros ataques transitórios foram descobertos nos últimos dois anos, incluindo Foreshadow, Zombieload, RIDL, Fallout e LazyFP.
A posição da LVI em todos esses ataques é, tecnicamente, um colapso reverso. Embora o bug original do Meltdown tenha permitido que os atacantes leiam os dados de um aplicativo na memória da CPU enquanto estão em um estado transitório, o LVI permite que o invasor injete código dentro da CPU e faça com que seja executado como uma operação “temporária”, dando aos invasores mais controle sobre o que acontece.
Os testes realizados pelas duas equipes de pesquisa – que encontraram o ataque LVI independentemente um do outro – foram bem-sucedidos em provar o amplo impacto do ataque.
Por exemplo, a equipe de pesquisa acadêmica se concentrou no vazamento de dados (uma chave de criptografia) de um enclave da Intel SGX, uma área segura dos processadores Intel, enquanto a Bitdefender se concentrou em provar o impacto do ataque nos ambientes em nuvem.
Esse tipo de ataque é particularmente devastador em ambientes com vários locatários, como estações de trabalho corporativas ou servidores no data center, onde um locatário com menos privilégios seria capaz de vazar informações confidenciais de um usuário mais privilegiado ou de um ambiente virtualizado diferente do hipervisor, disse a Bitdefender.
Meltdown também precisa de correção de hardware
Porém, a maior descoberta relacionada a este trabalho de pesquisa é sobre como Meltdown & LVI precisarão ser tratados.
Quando o Meltdown foi divulgado pela primeira vez, em janeiro de 2018, a Intel disse que era necessário apenas um patch de firmware. Uma alteração no design de silício da CPU era necessária apenas para a classe de ataques Spectre.
Agora, os pesquisadores dizem que isso não é mais verdade. Tanto a equipe de pesquisa acadêmica quanto a equipe Bitdefender dizem que a classe de ataques Meltdown e LVI também agora precisa de uma correção de hardware.
LVI IGNORA ALGUMAS CORREÇÕES DE MELTDOWN
Exploramos as mesmas operações de hardware que o Meltdow”, disse Daniel Zuss, professor assistente da Universidade de Tecnologia de Graz e membro da equipe de pesquisa acadêmica do ZDNet . Portanto, se o Meltdown funcionar, o LVI também funcionará.
Além disso, Gruss diz que sua equipe também foi capaz de usar com êxito ataques LVI em sistemas que receberam correções de software contra ataques do tipo Meltdown, sugerindo que as correções existentes podem nem sempre ser bem-sucedidas ao bloquear novas versões de ataques do tipo Meltdown.
SOMENTE OS PROCESSADORES INTEL CONFIRMADOS PARA SEREM AFETADOS – POR ENQUANTO
Atualmente, apenas as CPUs Intel foram afetadas pelos novos ataques LVI em testes do mundo real. No entanto, os pesquisadores não descartam que as CPUs da AMD e ARM também possam ser afetadas.
Em princípio, qualquer processador vulnerável ao vazamento de dados do tipo Meltdown também seria vulnerável à injeção de dados no estilo LVI, escreveram os pesquisadores em um site dedicado aos ataques do LVI.
Alguns processadores que não são da Intel demonstraram ser afetados por algumas variantes do Meltdown e Foreshadow, acrescentaram.
Mantemos uma visão geral atualizada no site Transient.fail. Selecione Meltdown + vendor ARM ou AMD.
Os pesquisadores sugerem que as variações de Meltdown listadas no site, das quais existem poucas, poderiam ser usadas para pontos de injeção para um ataque de LVI às CPUs de outros fornecedores. Porém, isso ainda não foi verificado na prática.
VETOR JAVASCRIPT
As demos de ataque LVI atuais dependem da execução de códigos maliciosos em um computador, sugerindo a necessidade de acesso local – como a entrega de códigos maliciosos ao alvo via malware.
No entanto, um ataque remoto também é possível via JavaScript, enganando os usuários para acessar um site malicioso – semelhante ao ataque original do Meltdown, que também pode ser realizado via JavaScript.
Esse vetor de ataque JavaScript não foi comprovado em um teste; no entanto, Gruss e Bitdefender disseram ao ZDNet que um método de entrega JavaScript também deve funcionar, pelo menos teoricamente.
UMA VISÃO GERAL, PATCHES, IMPACTO NO DESEMPENHO
As pesquisas chegaram à mesma tese em estudos diferentes. No entanto, também chegaram a outra conclusão compartilhada: o ataque LVI seria difícil na prática, em comparação com muitos outros ataques divulgados no passado.
Atualmente, o LVI é visto como mais um ataque teórico que abre as portas para futuras discussões. Semelhante ao modo como cada ataque criptográfico se baseou em pesquisas anteriores, a ponto de um algoritmo de criptografia ter sido considerado quebrado, o ataque LVI é apenas mais um tijolo na parede de vulnerabilidades da CPU que foram divulgadas nos últimos dois anos.
Modelo inseguro
Um ataque de LVI pode não ser um perigo direto para os usuários no momento. Contudo, segundo os acadêmicos, mais ataques devem ocorrer. Além disso, eles aprendem mais sobre como as CPUs realmente funcionam. Isso têm demonstrado que o design atual da CPU é bastante inseguro.
Com o trabalho feito agora, os cientistas esperam que haja uma reformulação geral das CPU’s tornando-as mais confiáveis e seguras aos usuários. Por enquanto, isso caminha lentamente. Atualmente, a Intel preparou atenuações baseadas em software, na forma de atualizações de firmware (microcódigo) da CPU.
No entanto, de acordo com testes preliminares, essas mitigações comprometem o desempenho que é fortemente impactado. A performance diminui, segundo alguns cálculos, de 2 a 19 vezes. Isso vai depender do número de mitigações que os administradores de sistemas decidem aplicar às suas CPUs.
Assim, muitos administradores devem evitar esses patches, principalmente devido ao grave impacto no desempenho.
Intel subestimou a gravidade do ataque LVI
Devido aos inúmeros requisitos complexos que devem ser satisfeitos para o êxito da realização, a Intel não acredita que o LVI seja um método prático em ambientes do mundo real onde o sistema operacional e o VMM são confiáveis, disse um porta-voz da Intel ao ZDNet em um e-mail na semana passada.
Concordo com a Intel, disse Bogdan Botezatu, diretor de pesquisa e relatórios de ameaças. Esse tipo de ataque é muito mais difícil de realizar na prática, comparado com outros ataques de canal lateral, como MDS, L1TF, SWAPGS.
ZDNet