Segurança

Tudo o que você precisa saber sobre os exploits Spectre e Meltdown

Descobertas por pesquisadores do Google, vulnerabilidades podem permitir que invasores acessem informações sensíveis do seu computador

05 de Janeiro de 2018 - 15h50

Duas falhas sérias de CPU reveladas nesta semana podem ter sérias consequências para as empresas.  As vulnerabilidades Meltdown e Spectre põem a descoberto os dados sensíveis dos seus dispositivos, sejam desktops, notebooks, tablets ou smartphone, permitindo que invasores acessem informações protegidas na memória do seu computador, revelando potencialmente detalhes como senhas, chaves criptográficas, fotos pessoais, e-mails e qualquer outra coisa armazenada na máquina. É uma falha realmente séria.

Felizmente, as fabricantes de CPUs e sistemas liberaram patches de segurança rapidamente, e você pode proteger o seus disppositivos até certo ponto. 

Não é algo rápido e simples. Elas são duas falhas muito diferentes que tocam em todas as partes do seu sistema, desde o hardware até o software e o sistema operacional em si.

  • A notícia ruim é que, devido à amplitude dessas vulnerabilidades, dispositivos IoT e muitos dispositivos móveis podem nunca receber correções.

Cenário
Em 3 de janeiro de 2018, pesquisadores, incluindo do Google Project Zero, divulgaram informações sobre três novas vulnerabilidades:

  • CVE-2017-5753: bounds check bypass
  • CVE-2017-5715: branch target injection
  • CVE-2017-5754: rogue data cache load
  • Eles agruparam essas vulnerabilidades sob os nomes "Spectre" (CVE-2017-5753 e CVE-2017-5715) e "Meltdown" (CVE-2017-5754). Detalhes abrangentes sobre ambos estão disponíveis em meltdownattack.com.
  •  

De acordo com os profissionais da Palo Alto Netwirks, essas vulnerabilidades apresentam uma situação única porque, em última análise, são vulnerabilidades baseadas em hardware. Todas as três provêm de problemas em processadores modernos e são conhecidas por afetar chips Intel e ARM. A vulnerabilidade dos chips AMD não está clara até o momento.

Como essas vulnerabilidades afetam os processadores na camada física, a única forma de trata-las por completo é substituir os processadores ou atualizar seus firmwares. Até que isso aconteça, os fabricantes de sistemas operacionais podem (e devem) liberar patches que tornam as vulnerabilidades da camada física inacessíveis. Para todos os efeitos, isso "corrige" as vulnerabilidades.

O ponto chave para entender essas vulnerabilidades é que elas são de divulgação de informações que podem permitir que processos e aplicações acessem informações que de outra forma não deveriam ser capazes: aplicações "user-mode" podem acessar informações privilegiadas no kernel e em todo o sistema operacional.

Para sistemas e dispositivos de usuários finais comuns, malwares e scripts mal-intencionados podem usar essas vulnerabilidades para acessar informações como nomes de usuário, senhas e informações da conta.

Para ambientes de hospedagem compartilhada, como fornecedores de nuvem pública, isso significa que um cliente hospedado poderia acessar as informações de qualquer outro cliente hospedado no mesmo hardware.

Com base na análise das vulnerabilidades, surge um consenso da indústria que as proteções genéricas contra ataques visando essas vulnerabilidades serão difíceis, se não impossíveis de se desenvolver. Isso significa que a prevenção terá que se concentrar em malwares específicos, ataques e sites de hospedagem à medida que surgirem.

Avaliação de risco
Como essas são vulnerabilidades de divulgação de informações, elas não representam o mesmo perigo imediato como WannaCry / WanaCrypt0r ou Petya / NotPetya. Elas são mais parecidas com o Heartbleed, de 2014.

Em termos da gravidade das próprias vulnerabilidades: são importantes, mas não críticas. Eles são de divulgação de informações, não execução de código.

A maior área de risco está em cenários de hospedagem compartilhada. Felizmente, a maioria dos provedores de nuvem já implantou atualizações de segurança e aqueles que não, devem faze-las em breve.

Para os usuários finais e gerentes de redes, o maior risco que essas vulnerabilidades representam é a exploração por malware que procura reunir informações como nomes de usuário e senhas de sistemas.

O que torna essas vulnerabilidades notáveis do ponto de vista da avaliação de risco é a amplitude da exposição. Uma vez que elas potencialmente afetam quase todos os dispositivos com um processador moderno, isso significa que a mitigação e a correção podem não ser possíveis. Os sistemas mais antigos (como o Windows XP) e dispositivos (como smartphones Android mais antigos e dispositivos IoT) provavelmente nunca receberão correções para essas vulnerabilidades.

O que é preciso fazer?
O melhor conselho é assegurar-se que o software está atualizado. Hoje em dia, muitos dos “updates” são automáticos, mas não custa nada verificar se os seus equipamentos estão rodando as versões mais recentes do sistema operacional e que todos os software estão atualizados.

De acordo com o Google, dispositivos Android com as atualizações mais recentes do sistema já estão protegidos. Correcções para Windows, macOS e Linux devem também estão sendo lançadas. Estará disponível ainda uma nova atualização par o browser Chrome, a partir de 23 de Janeiro.

A Apple confirmou que todos os iPhones, iPads e computadores Mac também foram afetados pelas duas falhas de segurança. Por ora, o que os donos de iPhones, iPads e Macs têm de fazer é manter atualizados os sistemas operacionais dos aparelhos. Para sanar a falha Meltdown, a Apple já incluiu correções nas últimas atualizações do iOS e do macOS. Para contornar a brecha do Spectre, a empresa informou que vai lançar dentro de alguns dias uma correção em forma de atualização para o navegador Safari (veja o comunicado, em inglês, aqui).

Os antivírus vão prevenir um ataque?
Em teoria uma atualização do programa antivírus poderá bloquear qualquer ataque explorando a falha, embora na prática eles sejam extremamente difícieis de detectar, segundo as empresas de segurança.

A boa notícia é que, até o momento, não há ataques ativos conhecidos utilizando qualquer uma dessas vulnerabilidades. Ainda assim é boa ideia manter o antivírus, o sistema operacional e as aplicações atualizadas.

Não se esqueça de estar atento ao clicar em links em mensagens de e-mail ou em redes sociais para evitar ser infectado.

Os dados armazenados na cloud estão vulneráveis?
Sim. Os processadores dos servidores de nuvem são afetados pelas mesmas falhas, o que significa que você deverá evitar armazenar dados sensíveis na nuvem até que seu fornecedor de serviço tenha agido a respeito.

Os usuários de serviços de hospedagem compartilhada (nuvem) devem confirmar com seu provedor de serviços a aplicação das atualizações de segurança para resolver essas vulnerabilidades.

Faça backup de qualquer dados insubstituível em discos externos portáveis ou em algum outro suporte que não esteja ligado a um computador, rede ou Internet

Como proteger os PCs?
Primeiro e mais importante de tudo: atualize o sistema operacional o quanto antes. A falha mais severa, a Meltdown, afeta “efetivamente todo processador Intel desde 1995”, segundo os pesquisadores de segurança do Google que descobriram o problema. É uma falha no hardware em si, mas as principais fabricantes de sistemas liberaram atualizações que protegem o sistema contra a Meltdown. 

A Microsoft soltou um patch de emergência para o Windows em 3 de janeiro. Caso não tenha atualizado seu PC automaticamente, vá em Iniciar > Configurações > Update e Segurança > Windows Update, e então clique no botão Verificar Agora (Check Now), lá  em Update Status. O sistema deve detectar a atualização disponível e iniciar o download. Instale o update assim que terminar de baixá-lo.

Caso não o encontre, por qualquer razão, você pode baixar o patch Windows 10 KB4056892 diretamente por aqui. Você precisará saber se roda a versão 32-bit (x86) ou 64-bit (x64) do Windows – para isso, apenas digite “sistema” (ou “system”) na busca do Windows e clique no primeiro item da lista, que leva para uma janela do Painel de Controle. A listagem “Tipo de sistema” te dirá qual versão do Windows você está rodando. A maioria dos PCs lançados na última década roda um sistema 64-bit.

A Apple incluiu proteções contra o Meltdown no macOS High Sierra 13.10.2, lançado em dezembro. Caso seu Mac não aplique os updates automaticamente, vá até a aba Update da App Store para fazer a atualização. 

Os Chromebooks devem ser atualizados para o Chrome OS 63, lançado em dezembro. Ele traz mitigações contra as falhas de CPU. Os desenvolvedores Linux estão trabalhando em patches para o kernel do sistema. 

Agora a má notícia: os patches para sistemas podem deixar seu PC mais lento. Mas o quão mais lento é algo que varia muito, dependendo da sua CPU e da carga de trabalho que você está rodando. A Intel espera que o impacto seja razoavelmente pequeno para a maioria das aplicações padrão, como a navegação na web.

Verifique atualizações de firmware
Como a falha Meltdown existe no nível de hardware, a Intel também está liberando atualizações de firmware para os seus processadores. “Até o final da próxima semana, a Intel espera ter liberado updates para mais de 90% dos processadores lançados nos últimos cinco anos”, afirmou a fabricante em um comunicado publicado em 4 de janeiro.

A Intel também lançou uma ferramenta de detecção que pode ajudá-lo a determinar se você precisa de uma atualização de firmware.

Realmente conseguir essas atualizações de firmware pode ser um pouco complicado, já que os updates de firmware não são publicados diretamente pela Intel. Em vez disso, você precisará pegá-los com a companhia que produziu seu laptop, PC ou placa mãe – pense em empresas como HP, Dell, Gigabyte, etc.

A página de suporte da Intel dedicada à vulnerabilidade inclui links para todos os seus parceiros, onde você pode encontrar qualquer update de firmware disponível e informações sobre o seu PC em particular. A maioria dos computadores e laptops pré-montados possui um adesivo no exterior com mais detalhes. 

Atualize seu navegador
Você também precisa se proteger contra a Spectre, que engana o software para acessar a memória protegida. Chips da Intel, AMD e ARM são vulneráveis à falha em algum grau. 

Os principais navegadores web para PCs já liberaram updates como uma primeira linha de defesa contra sites maliciosos que buscam explorar a falha com Javascript.

A Microsoft atualizou o Edge e o Internet Explorer juntamente com o Windows 10. O Firefox 57, da Mozilla, também traz defesas contra o Spectre. O Chrome 63 traz a “Isolação de Site” (“Site Isolation”) como um recurso experimental opcional – você pode acioná-lo agora ao acessar chrome://flags/#enable-site-per-process na sua barra de navegação e então clicar em Habilitar (Enable) perto da opção “Strick Site Isolation”. O Chrome 64 terá mais proteções quando for lançado em 23 de janeiro. 

Mantenha seu antivírus ativo
Por fim, essa diretriz mostra como é importante manter seu PC protegido. Os pesquisadores do Google que descobriram as falhas de CPU afirmam que o antivírus tradicional não conseguiria detectar um ataque Meltdown ou Spectre. Mas os invasores precisam poder injetar e rodar código malicioso no seu PC para se aproveitar dos exploits. Por isso, manter seu software de segurança instalado e vigilante ajuda a manter os hackers e malwares fora do seu computador.

Além disso...
Administradores e usuários finais devem implantar atualizações de segurança em todos os sistemas e dispositivos assim que estiverem disponíveis.

Administradores e usuários finais devem considerar aposentar o mais rápido possível sistemas e dispositivos que não serão atualizados.

Os administradores e os usuários finais devem usar segurança abrangente de rede e endpoint que podem ajudar a prevenir ataques que buscam explorar essas vulnerabilidades.

Desempenho
Durante os esforços para proteger os clientes das vulnerabilidades "Specter" e "Meltdown" foram realizados diversos testes a fim de avaliar qualquer impacto no desempenho dos equipamentos que pudesse ser causado por meio das recém-lançadas atualizações de segurança. Apple, Amazon, Google e Microsoft estão entre as empresas que já realizaram testes e que observaram pouco ou nenhum impacto no desempenho de seus sistemas.

Segue resumo das avaliações realizadas:

Apple: “Nossos testes mostraram que a aplicação das atualizações liberadas em dezembro de 2017 não resultou em nenhuma redução notável no desempenho do macOS e do iOS, conforme resultados obtidos por meio de benchmarks públicos como o GeekBench 4 e de benchmarks para navegadores como Speedometer, JetStream, e ARES-6.”

Microsoft: “A maioria dos clientes Azure não deve sentir um impacto de desempenho com a atualização. Nós trabalhamos na otimização da CPU e do I/O path e não percebemos alterações após a correção ter sido aplicada.”

Amazon: “Não observamos impacto significativo no desempenho da grande maioria das cargas de trabalho EC2.”

Google: "Na maioria dos nossos workloads, incluindo a infraestrutura para nuvem, não notamos nenhum impacto significativo de desempenho.”

A Intel continua acreditando que um possível impacto das recentes atualizações no desempenho dos sistemas depende totalmente da carga de trabalho e que o usuário comum de computadores não deve ser afetado. Além disso, qualquer possível efeito será amenizado ao longo do tempo.