Nas últimas 48 horas, houve uma onda de atividade entre os fornecedores de hardware e software para endereçar dois conjuntos de vulnerabilidades que foram denominadas “Meltdown” e “Spectre”. Em 3 de janeiro de 2018, pesquisadores, incluindo do Google Project Zero, divulgaram informações sobre três novas vulnerabilidades:
CVE-2017-5753: bounds check bypass
CVE-2017-5715: branch target injection
CVE-2017-5754: rogue data cache load
Eles agruparam essas vulnerabilidades sob os nomes “Spectre” (CVE-2017-5753 e CVE-2017-5715) e “Meltdown” (CVE-2017-5754). Detalhes abrangentes sobre ambos estão disponíveis em meltdownattack.com. Até o momento, não há ataques ativos conhecidos utilizando qualquer uma dessas vulnerabilidades.
Vulnerabilidades
Essas vulnerabilidades apresentam uma situação única porque, em última análise, são vulnerabilidades baseadas em hardware. Todas as três provêm de problemas em processadores modernos e são conhecidas por afetar chips Intel e ARM. A vulnerabilidade dos chips AMD não está clara até o momento.
Como essas vulnerabilidades afetam os processadores na camada física, a única forma de trata-las por completo é substituir os processadores ou atualizar seus firmwares. Até que isso aconteça, os fabricantes de sistemas operacionais podem (e devem) liberar patches que tornam as vulnerabilidades da camada física inacessíveis. Para todos os efeitos, isso “corrige” as vulnerabilidades.
Os detalhes técnicos completos sobre as vulnerabilidades estão disponíveis nos sites referenciados acima. Mas o ponto chave para entender essas vulnerabilidades é que elas são de divulgação de informações que podem permitir que processos e aplicações acessem informações que de outra forma não deveriam ser capazes: aplicações “user-mode” podem acessar informações privilegiadas no kernel e em todo o sistema operacional.
Para sistemas e dispositivos de usuários finais comuns, malwares e scripts mal-intencionados podem usar essas vulnerabilidades para acessar informações como nomes de usuário, senhas e informações da conta.
Para ambientes de hospedagem compartilhada, como fornecedores de nuvem pública, isso significa que um cliente hospedado poderia acessar as informações de qualquer outro cliente hospedado no mesmo hardware.
Com base na análise das vulnerabilidades, surge um consenso da indústria que as proteções genéricas contra ataques visando essas vulnerabilidades serão difíceis, se não impossíveis de se desenvolver. Isso significa que a prevenção terá que se concentrar em malwares específicos, ataques e sites de hospedagem à medida que surgirem.
Avaliação de risco
Como essas são vulnerabilidades de divulgação de informações, elas não representam o mesmo perigo imediato como WannaCry / WanaCrypt0r ou Petya / NotPetya. Elas são mais parecidas com o Heartbleed, de 2014.
Em termos da gravidade das próprias vulnerabilidades: são importantes, mas não críticas. Eles são de divulgação de informações, não execução de código. A maior área de risco está em cenários de hospedagem compartilhada. Felizmente, a maioria dos provedores de nuvem já implantou atualizações de segurança e aqueles que não, devem faze-las em breve.
Para os usuários finais e gerentes de redes, o maior risco que essas vulnerabilidades representam é a exploração por malware que procura reunir informações como nomes de usuário e senhas de sistemas.
O que torna essas vulnerabilidades notáveis do ponto de vista da avaliação de risco é a amplitude da exposição. Uma vez que elas potencialmente afetam quase todos os dispositivos com um processador moderno, isso significa que a mitigação e a correção podem não ser possíveis. Os sistemas mais antigos (como o Windows XP) e dispositivos (como smartphones Android mais antigos e dispositivos IoT) provavelmente nunca receberão correções para essas vulnerabilidades.
Ações a serem tomadas
As ações a serem tomadas em resposta a este evento são claras e simples:
Os usuários de serviços de hospedagem compartilhada (nuvem) devem confirmar com seu provedor de serviços a aplicação das atualizações de segurança para resolver essas vulnerabilidades.
Administradores e usuários finais devem implantar atualizações de segurança em todos os sistemas e dispositivos assim que estiverem disponíveis.
Administradores e usuários finais devem considerar aposentar o mais rápido possível sistemas e dispositivos que não serão atualizados.
Os administradores e os usuários finais devem usar segurança abrangente de rede e endpoint que podem ajudar a prevenir ataques que buscam explorar essas vulnerabilidades.