What it is, and how to not let Spectre wreak havoc again

Investigadores da Bitdefender identificaram e demonstraram um novo ataque de canal lateral. O ataque baseia-se em pesquisas anteriores que levaram aos ataques Spectre e Meltdown. Este ataque recém-divulgado ignora todos os mecanismos de mitigação conhecidos implementados em resposta ao Spectre e ao Meltdown. O Bitdefender Hypervisor Introspection torna os sistemas Windows imunes a este novo ataque.

O ataque SWAPGS afeta CPUs da Intel mais recentes que utilizam execução especulativa.

Breve visão geral

Na procura por CPUs cada vez mais rápidas, os fornecedores implementaram várias versões de execução especulativa. Essa funcionalidade faz com que a CPU faça suposições instruídas sobre instruções que podem ser necessárias antes de determinar se as instruções são, de fato, necessárias. Essa execução especulativa pode deixar rastros no cache que os invasores podem usar para vazar memória privilegiada do kernel.

Esse ataque tira partido de uma combinação da execução especulativa da Intel de uma instrução específica (SWAPGS) e da utilização dessa instrução pelos sistemas operacionais Windows no que é conhecido como gadget.

O que torna a pesquisa sobre esses ataques de ponta em comparação com os ciberataques contra vulnerabilidades mais tradicionais é que chega à raiz de como as CPUs modernas funcionam. Para investigar adequadamente, as equipas de pesquisa devem ter uma compreensão completa de processos internos da CPU (previsão de ramificação, execução incorreta, execução especulativa, pipeline e caches), processos internos do sistema operacional (chamadas do sistema, tratamento de interrupções e exceções e KPTI) e canais laterais e ataques de execução especulativa em geral.

Impacto

Os sistemas do Windows sem correção executados no hardware da Intel de 64 bits são suscetíveis de fugas de memória sensível do kernel, inclusive do modo de utilizador. O ataque SWAPGS contorna todas as técnicas de mitigação conhecidas implantadas contra ataques de canal lateral anteriores em vulnerabilidades em execução especulativa.

A resolução dessas vulnerabilidades é extremamente desafiadora. Uma vez que se encontram profundas dentro da estrutura e operação de CPUs modernas, remover completamente as vulnerabilidades envolve a substituição de hardware ou a desativação de funcionalidades que melhoram significativamente o desempenho. Da mesma forma, criar mecanismos de mitigação é altamente complexo e pode prejudicar os ganhos de desempenho alcançados por recursos de execução especulativa. Por exemplo, eliminar completamente a possibilidade de ataques de canal lateral contra a funcionalidade de execução especulativa das CPUs Intel exigiria uma desativação completa do hyperthreading, o que prejudicaria gravemente o desempenho.

Como o ataque SWAPGS foi descoberto e divulgado

Desde a publicação do Meltdown e do Spectre, os investigadores examinaram o recurso de execução especulativa das CPUs modernas, particularmente os ataques de canal lateral visando o recurso focado no desempenho das CPUs modernas.

Investigadores da Bitdefender trabalharam com a Intel durante mais de um ano antes da divulgação pública desse novo ataque. A Bitdefender também trabalhou em estreita colaboração com a Microsoft, que desenvolveu e publicou uma correção. Outros fornecedores do ecossistema também estiveram envolvidos.

A Bitdefender publicou um livro branco detalhado, incluindo um cronograma de divulgação detalhado, descrevendo a pesquisa por trás do ataque. A Bitdefender também publicou posts de blog a explicar o ataque e um vídeo a demonstrar isso mesmo.

Quais sistemas são afetados?

O ataque SWAPGS afeta CPUs da Intel mais recentes que utilizam execução especulativa.

Mitigação

"Embora a implantação da correção da Microsoft seja altamente recomendada, o Bitdefender Hypervisor Introspection fornece um controlo de compensação que evita ataques".

A Bitdefender demonstrou como o Hypervisor Introspection interrompe o ataque removendo as condições necessárias para ter sucesso em sistemas do Windows sem correção. Essa mitigação não introduziu uma degradação percetível no desempenho. Enquanto a implantação da correção da Microsoft é altamente recomendada, o Hypervisor Introspection fornece um controlo compensatório eficaz até que os sistemas possam ser corrigidos.

O Hypervisor Introspection analisa a memória de VMs convidadas e identifica objetos de interesse. O Bitdefender atenuou essa vulnerabilidade, antes do lançamento de qualquer correção aplicável, instrumentando cada instrução SWAPGS vulnerável para garantir que ela não é executada especulativamente, evitando fugas de memória do kernel.

Apesar dos melhores esforços, muitas organizações lutam para implantar correções num cronograma ideal. O Hypervisor Introspection ajuda a preencher a lacuna entre o lançamento e a implantação de correções para vulnerabilidades de segurança graves.

O Hypervisor Introspection é exclusivo da Bitdefender. Atualmente é compatível com Citrix Hypervisor, Xen e KVM como uma pré-visualização da tecnologia.

Sobre a Introspecção do Hipervisor

O Hypervisor Introspection aproveita as vantagens inerentes obtidas com a posição dos hipervisores em relação ao hardware subjacente e aos sistemas operativos virtualizados, incluindo Windows, Linux e máquinas virtuais de computador e servidor. Em tempo real, o Hypervisor Introspection inspeciona a memória bruta das máquinas virtuais em execução. Procura sinais de técnicas de ataque baseadas em memória utilizadas de forma consistente para explorar vulnerabilidades, conhecidas e desconhecidas.

O Hypervisor Introspection é uma abordagem de segurança poderosa exclusiva da Bitdefender. A pesquisa e o desenvolvimento do Bitdefender trabalharam com o Xen Project para estender a Introspeção de Máquina Virtual (VMI) dentro do hipervisor Xen. A Citrix adotou a funcionalidade do Citrix Hypervisor como APIs do Direct Inspect. A Bitdefender também continua a trabalhar com o KVM e outras comunidades de código aberto, além de pesquisas e desenvolvimento adicionais para cenários não virtualizados, como sistemas incorporados.

Outro exemplo de alto perfil dos recursos do Hypervisor Introspection veio antes do lançamento do EternalBlue, que mais tarde foi utilizado na onda de ransomware WannaCry. Sem conhecimento do ataque cibernético específico ou da vulnerabilidade subjacente, o Hypervisor Introspection bloqueou o ataque, uma vez que aproveita uma técnica de ataque de estouro de buffer.

Embora a utilização de excesso de fluxo de buffer para explorar vulnerabilidades não seja novo, a rápida adoção do EternalBlue pelos invasores do WannaCry demonstrou, mais uma vez, que as organizações muitas vezes não conseguem implementar correções essenciais a tempo de evitar ataques cibernéticos. Desde técnicas de ataque testadas e comprovadas, como estouro de buffer, spray de heap e injeção de código, até ataques altamente sofisticados que exploram vulnerabilidades nos níveis mais profundos de funcionalidade de hardware, está claro que as organizações devem conceber uma nova abordagem de segurança, como o Hypervisor Introspection, na sua malha de segurança.

O Hypervisor Introspection demonstra como os fornecedores de segurança, hardware, virtualização e sistemas operativos podem cooperar para produzir novas abordagens poderosas de segurança que detêm as ondas de ataques altamente sofisticados.

Recomendações

O Ataque SWAPGS explora através de um ataque de canal lateral uma falha no regime de execução especulativa das CPUs modernas da Intel. Esse ataque ignora os mecanismos de mitigação implementados para impedir ataques anteriores. Como o ataque utiliza a instrução SWAPGS quando ativado especulativamente, a aplicação de correções para sistemas operativos que podem utilizar especulativamente SWAPGS é altamente recomendada. Dado o âmbito da pesquisa realizada pela equipa do Bitdefender que descobriu o SWAPGS Attack, os sistemas vulneráveis conhecidos são limitados àqueles que alojam o sistema operativo Windows em CPUs Intel modernas capazes de executar execução especulativa. Até que as correções possam ser aplicadas, é altamente recomendável mover as cargas de trabalho executadas em sistemas operativos vulneráveis para anfitriões que executam o Bitdefender Hypervisor Introspection via Citrix Hypervisor ou Xen.

Divulgação limitada anterior de outras pesquisas da Bitdefender

Em maio de 2019, uma publicação no blog da Bitdefender resumiu a pesquisa sobre outro mecanismo de ataque de canal lateral baseado na execução especulativa. Na época, conforme abordado na linha do tempo de divulgação no livro branco, concordamos em reter a publicação do livro branco de pesquisa detalhada sobre os mecanismos de canal lateral de execução especulativa descobertos. O livro branco, intitulado “Implicações de segurança da execução especulativa de instruções relacionadas à segmentação em CPUs da Intel”, é de coautoria dos dois investigadores do livro branco do ataque SWAPGS e está disponível aqui.

P: Quais são as informações mais sensíveis armazenadas no kernel? Palavras-passe? Credenciais de acesso?

R. Informações confidenciais podem ser qualquer coisa que possa permitir que o invasor desenvolva outros ataques. Por exemplo, sinais ou endereços que podem permitir que um invasor realize outro escalonamento de privilégios. Um invasor também pode extrair outras informações confidenciais, como palavras-passe, chaves de criptografia, tokens ou credenciais de acesso, que podem estar presentes na memória do kernel.

P: Essa vulnerabilidade pode expor dados de cartão de crédito armazenados em contas e navegadores da Google?

R. Se as informações roubadas inicialmente permitirem que o cibercriminoso desenvolva outros ataques (por exemplo, um escalonamento de privilégios), sim, é possível.

P. Que processadores Intel são afetados? Quais séries e anos?

R. Todas as CPUs da Intel que suportam SWAPGS e instruções WRGSBASE são afetadas. Isso significa basicamente qualquer coisa, desde a Intel Ivy Bridge (introduzida em 2012) até a mais recente série de processadores no mercado.

P: Que tipo de dispositivos são afetados? Apenas servidores? Os computadores e portáteis estão em risco?

R. Qualquer dispositivo que execute um Intel Ivy Bridge ou uma CPU mais recente: computadores, portáteis, servidores, etc. Tanto os utilizadores domésticos como os empresariais são afetados por essa vulnerabilidade.

P. Se eu estiver utilizar um Apple, estou em risco?

R. Nós supomos que os dispositivos Apple NÃO são vulneráveis, mas devemos aguardar até que sua declaração oficial seja divulgada.