Quais sistemas são afetados?
O ataque SWAPGS afeta CPUs da Intel mais recentes que usam execução especulativa.
O ataque SWAPGS afeta CPUs da Intel mais recentes que usam execução especulativa.
Na busca de CPUs cada vez mais rápidas, os fornecedores implementaram várias versões de execução especulativa. Essa funcionalidade faz com que a CPU faça suposições instruídas sobre instruções que podem ser necessárias antes de determinar se as instruções são, de fato, necessárias. Essa execução especulativa pode deixar rastros no cache que os invasores podem usar para vazar memória privilegiada do kernel.
Esse ataque tira proveito de uma combinação da execução especulativa da Intel de uma instrução específica (SWAPGS) e do uso dessa instrução pelos sistemas operacionais Windows no que é conhecido como gadget.
O que torna a pesquisa sobre esses ataques de ponta em comparação com os ciberataques contra vulnerabilidades mais tradicionais é que ela chega à raiz de como as CPUs modernas operam. Para investigar adequadamente, as equipes de pesquisa devem ter uma compreensão completa de processos internos da CPU (previsão de ramificação, execução incorreta, execução especulativa, pipeline e caches), processos internos do sistema operacional (chamadas do sistema, tratamento de interrupções e exceções e KPTI) e canais laterais e ataques de execução especulativa em geral.
Os sistemas do Windows sem patch executados no hardware da Intel de 64 bits são suscetíveis de vazamento de memória sensível do kernel, inclusive do modo de usuário. O ataque SWAPGS contorna todas as técnicas de mitigação conhecidas implantadas contra ataques de canal lateral anteriores em vulnerabilidades em execução especulativa.
A resolução dessas vulnerabilidades é extremamente desafiadora. Uma vez que se encontram profundas dentro da estrutura e operação de CPUs modernas, remover completamente as vulnerabilidades envolve a substituição de hardware ou a desativação de funcionalidades que melhoram significativamente o desempenho. Da mesma forma, criar mecanismos de mitigação é altamente complexo e pode prejudicar os ganhos de desempenho alcançados por recursos de execução especulativa. Por exemplo, eliminar completamente a possibilidade de ataques de canal lateral contra a funcionalidade de execução especulativa das CPUs Intel exigiria uma desativação completa do hyperthreading, o que prejudicaria seriamente o desempenho.
Desde a publicação do Meltdown e do Spectre, os pesquisadores examinaram o recurso de execução especulativa das CPUs modernas, particularmente os ataques de canal lateral visando o recurso focado no desempenho das CPUs modernas.
Pesquisadores da Bitdefender trabalharam com a Intel por mais de um ano antes da divulgação pública desse novo ataque. A Bitdefender também trabalhou em estreita colaboração com a Microsoft, que desenvolveu e publicou um patch. Outros fornecedores do ecossistema também estiveram envolvidos.
A Bitdefender publicou um livro branco detalhado, incluindo um cronograma de divulgação detalhado, descrevendo a pesquisa por trás do ataque. A Bitdefender também publicou posts de blog explicando o ataque e um vídeo demonstrando isso.
"Embora a implantação do patch da Microsoft seja altamente recomendada, o Bitdefender Hypervisor Introspection fornece um controle de compensação que evita ataques".
A Bitdefender demonstrou como o Hypervisor Introspection interrompe o ataque removendo as condições necessárias para ter sucesso em sistemas do Windows sem patch. Essa mitigação não introduziu uma degradação perceptível no desempenho. Enquanto a implantação do patch da Microsoft é altamente recomendada, o Hypervisor Introspection fornece um controle compensatório eficaz até que os sistemas possam ser corrigidos.
O Hypervisor Introspection analisa a memória de VMs convidadas e identifica objetos de interesse. O Bitdefender atenuou essa vulnerabilidade, antes do lançamento de qualquer patch aplicável, instrumentando cada instrução SWAPGS vulnerável para garantir que ela não seja executada especulativamente, evitando vazamentos de memória do kernel.
Apesar de seus melhores esforços, muitas organizações lutam para implantar patches em um cronograma ideal. O Hypervisor Introspection ajuda a preencher a lacuna entre o lançamento e a implantação de patches para vulnerabilidades de segurança graves.
O Hypervisor Introspection é exclusivo da Bitdefender. Hoje, ele é compatível com Citrix Hypervisor, Xen e KVM como uma prévia da tecnologia.
O Hypervisor Introspection aproveita as vantagens inerentes obtidas com a posição dos hipervisores em relação ao hardware subjacente e aos sistemas operacionais virtualizados, incluindo Windows, Linux e máquinas virtuais de desktop e servidor. Em tempo real, o Hypervisor Introspection inspeciona a memória bruta das máquinas virtuais em execução. Ele procura sinais de técnicas de ataque baseadas em memória usadas de forma consistente para explorar vulnerabilidades, conhecidas e desconhecidas.
O Hypervisor Introspection é uma abordagem de segurança poderosa exclusiva da Bitdefender. A pesquisa e o desenvolvimento do Bitdefender trabalharam com o Xen Project para estender a Introspecção de Máquina Virtual (VMI) dentro do hipervisor Xen. A Citrix adotou a funcionalidade do Citrix Hypervisor como APIs do Direct Inspect. A Bitdefender também continua a trabalhar com o KVM e outras comunidades de código aberto, além de pesquisas e desenvolvimento adicionais para cenários não virtualizados, como sistemas incorporados.
Outro exemplo de alto perfil dos recursos do Hypervisor Introspection veio antes do lançamento do EternalBlue, que mais tarde foi usado na onda de ransomware WannaCry. Sem conhecimento do ataque cibernético específico ou da vulnerabilidade subjacente, o Hypervisor Introspection bloqueou o ataque, uma vez que ele aproveita uma técnica de ataque de estouro de buffer.
Embora o uso de excesso de fluxo de buffer para explorar vulnerabilidades não seja novo, a rápida adoção do EternalBlue pelos invasores do WannaCry demonstrou, mais uma vez, que as organizações muitas vezes não conseguem implementar patches essenciais a tempo de evitar ataques cibernéticos. Desde técnicas de ataque testadas e comprovadas, como estouro de buffer, spray de heap e injeção de código, até ataques altamente sofisticados que exploram vulnerabilidades nos níveis mais profundos de funcionalidade de hardware, está claro que as organizações devem conceber uma nova abordagem de segurança, como o Hypervisor Introspection, em sua malha de segurança.
O Hypervisor Introspection demonstra como os fornecedores de segurança, hardware, virtualização e sistemas operacionais podem cooperar para produzir novas abordagens poderosas de segurança que detêm as ondas de ataques altamente sofisticados.
O Ataque SWAPGS explora por meio de um ataque de canal lateral uma falha no regime de execução especulativa das CPUs modernas da Intel. Esse ataque ignora os mecanismos de mitigação implementados para impedir ataques anteriores. Como o ataque utiliza a instrução SWAPGS quando engajado especulativamente, a aplicação de patches para sistemas operacionais que podem usar especulativamente SWAPGS é altamente recomendada. Dado o escopo da pesquisa realizada pela equipe do Bitdefender que descobriu o SWAPGS Attack, os sistemas vulneráveis conhecidos são limitados àqueles que hospedam o sistema operacional Windows em CPUs Intel modernas capazes de executar execução especulativa. Até que os patches possam ser aplicados, é altamente recomendável mover as cargas de trabalho executadas em sistemas operacionais vulneráveis para hosts que executam o Bitdefender Hypervisor Introspection via Citrix Hypervisor ou Xen.
Em maio de 2019, uma postagem no blog da Bitdefender resumiu a pesquisa sobre outro mecanismo de ataque de canal lateral baseado na execução especulativa. Na época, conforme abordado na linha do tempo de divulgação no livro branco, concordamos em reter a publicação do livro branco de pesquisa detalhada sobre os mecanismos de canal lateral de execução especulativa descobertos. O livro branco, intitulado “Implicações de segurança da execução especulativa de instruções relacionadas à segmentação em CPUs da Intel”, é de coautoria dos dois pesquisadores do livro branco do ataque SWAPGS e está disponível aqui.
R. Informações confidenciais podem ser qualquer coisa que possa permitir que o invasor desenvolva outros ataques. Por exemplo, sinais ou endereços que podem permitir que um invasor realize outro escalonamento de privilégios. Um invasor também pode exfiltrar outras informações confidenciais, como senhas, chaves de criptografia, tokens ou credenciais de acesso, que podem estar presentes na memória do kernel.
R. Se as informações roubadas inicialmente permitirem que o cibercriminoso desenvolva outros ataques (por exemplo, um escalonamento de privilégios), sim, é possível.
R. Todas as CPUs da Intel que suportam SWAPGS e instruções WRGSBASE são afetadas. Isso significa basicamente qualquer coisa, desde a Intel Ivy Bridge (introduzida em 2012) até a mais recente série de processadores no mercado.
R. Qualquer dispositivo que execute um Intel Ivy Bridge ou uma CPU mais recente: desktops, laptops, servidores, etc. Tanto os usuários domésticos quanto os corporativos são afetados por essa vulnerabilidade.
R. Nós supomos que os dispositivos Apple NÃO são vulneráveis, mas devemos aguardar até que sua declaração oficial seja divulgada.