No começo do ano, falamos sobre os ataques Meltdown e Spectre, os quais exploraram as vulnerabilidades na memória kernel dos processadores da Intel presentes em dispositivos – com sistema operacional Windows, MacOS e Linux – criados nos últimos 20 anos. Como consequência, pode haver queda de até 30% no desempenho desses dispositivos. Porém, quando esperava-se que o assunto já estivesse encerrado, os pesquisadores da Universidade de Princeton (Estados Unidos) descobriram duas vulnerabilidades derivadas dos mesmos ataques, as quais foram intituladas de MeltdownPrime e SpectrePrime.
São vulnerabilidades que colocam os vários núcleos das CPUs “uns contra os outros” dentro dos processadores e se aproveitam da facilidade de acesso à memória kernel nos sistemas para executar o roubo de dados sensíveis de usuários. Elas utilizam a abordagem Prime+Probe para dar origem a um ataque temporário à rede corporativa e configuram-se como novas porque as versões originais de Meltdown e Spectre utilizavam a abordagem Flush+Reload.
A abordagem Flush+Reload pode atingir qualquer local de memória, e não apenas a memória compartilhada. Já a abordagem Prime+Probe é considerada mais perigosa pela capacidade de esvaziar a memória do computador infectado, durante o uso de um canal lateral de temporização, aumentando o risco de um vazamento de dados em grande proporção.
Por exemplo: um aplicativo JavaScript executado em um navegador tem potencial de extrair qualquer informação mantida na memória kernel do computador. Embora seja improvável que existam arquivos completos armazenados lá, é muito possível que sejam encontrados e roubados dados valiosos – como chaves SSH, tokens de segurança e até mesmo senhas.
É um tipo de ameaça muito semelhante à violação de informações administrativas e, por isso, as empresas precisam aplicar vários níveis de proteção para criar uma profundidade defensiva em suas redes e aplicativos.
Ou seja, apesar da Intel ter lançado recentemente diversas atualizações de segurança, o ato de proteger os dispositivos contra o MeltdownPrime e o SpectrePrime é “sinônimo” de combater a rapidez de desenvolvimento dos malwares que exploram tais vulnerabilidades. São malwares que têm a atuação possibilitada por pedidos de gravação de dados enviados de forma especulativa, em um sistema que utiliza um protocolo de coerência baseado em “invalidação de códigos de cache”.
Para mitigar as ameaças, as ações de proteção são as mesmas em relação às versões originais de Meltdown e Spectre:
– Realizar todas as atualizações (sistema operacional e firmware) que forem recomendadas no dispositivo;
– Fazer o escaneamento total do sistema, de modo a verificar se houve a instalação de algum software mal-intencionado. Caso tenha havido tal instalação, a remoção deve ser imediata;
– Considerar todos os pontos pelos quais o código pode ser executado e, assim, dificultar ação dos hackers;
– Restringir a execução dos “códigos invalidados” e permitir controles adicionais de monitoramento e proteção dos sistemas; e
– Não fazer download de aplicativos, pois estes também podem ter alguma vulnerabilidade a ser explorada por hackers.
Vulnerabilidades como MeltdownPrime e SpectrePrime demonstram o quão abrangente e impactante são as falhas iniciais de Meltdown e Spectre reveladas em janeiro, com possibilidade de novas (e perigosas) descobertas ao longo do ano.