0
0
Pesquisadores da ETH Zurique encontraram uma maneira de superar um mecanismo de defesa comumente usado contra os chamados ataques de execução especulativa que visam microprocessadores modernos.
Em um artigo técnico publicado esta semana, os pesquisadores descreveram como os atacantes poderiam usar sua técnica — apelidada de “Retbleed” — para roubar dados confidenciais da memória de sistemas com microprocessadores Intel e AMD vulneráveis ao problema. Os pesquisadores construíram seu código de prova de conceito para Linux, mas disseram que alguns computadores Windows e Apple com os microprocessadores afetados provavelmente também têm o problema.
Sua descoberta levou a Intel e a AMD a emitir avisos esta semana descrevendo mitigações contra o novo método de ataque. Em um comunicado enviado por e-mail, a Intel disse que trabalhou com parceiros do setor, com a comunidade Linux e fornecedores de VMM (Virtual Machine Manager) para disponibilizar mitigações aos clientes. “Os sistemas Windows não são afetados, pois já têm essas mitigações por padrão”, observou a Intel.
A AMD disse que a questão identificada pelos pesquisadores potencialmente permite a execução arbitrária de código especulativo sob certas condições de microarquitetura. “Como parte de seu trabalho contínuo para identificar e responder a novas potenciais vulnerabilidades de segurança, a AMD está recomendando que os fornecedores de software considerem tomar medidas adicionais para ajudar a se proteger contra ataques semelhantes a espectros”, disse a AMD em um comunicado enviado por e-mail. “Essa orientação é encontrada em um novo whitepaper AMD agora disponível.”
Ambos os fabricantes de chips disseram que não estavam cientes de quaisquer explorações ativas na natureza relacionadas ao problema que os pesquisadores da ETH Zurique descobriram e relataram.
Um vetor de ataque perigoso
Os pesquisadores de segurança consideram os ataques de execução especulativos como perigosos porque dão aos atacantes uma maneira de acessar e roubar dados confidenciais — incluindo senhas e chaves de criptografia — na memória de um computador. É uma questão que é especialmente preocupante em ambientes compartilhados, como serviços de nuvem pública e infraestrutura corporativa compartilhada.
A execução especulativa é um mecanismo de aumento de desempenho em microprocessadores modernos onde as instruções em código são executadas antes de quando são necessárias, sem esperar que as instruções anteriores sejam concluídas. A técnica pode ajudar a acelerar o desempenho dos microprocessadores. Se o microprocessador acha errado e executa uma instrução que não é necessária, descarta essa instrução. Mas ao fazê-lo, às vezes deixa artefatos da memória do sistema nos buffers ou cache do processador.
Os atores de ameaças aproveitaram esse fato para criar os chamados ataques de canais laterais onde eles fazem com que o microprocessador execute o código especulativamente de forma a fazê-lo acessar — e revelar — informações confidenciais na memória do sistema. O problema tornou-se uma grande preocupação em 2018 com a divulgação das vulnerabilidades Spectre e Meltdown na maioria dos microprocessadores usados em tudo, desde servidores até PCs, laptops e dispositivos móveis.
Desde então, fabricantes de chips como Intel e AMD introduziram mudanças e mitigações para dificultar a realização de ataques especulativos de execução lateral.
Uma mitigação amplamente utilizada contra ataques de execução especulativa é chamada de “Retpoline”, uma abordagem desenvolvida pelo Google para controlar como um microprocessador realiza especulações ao lidar com certas instruções — os chamados “saltos” e “chamadas” indiretas.
‘Truque Louco’
As retpolinas funcionam substituindo saltos indiretos e chamadas com a função de “retorno”, diz Johannes Wikner, um dos pesquisadores da ETH Zurique que desenvolveu a nova exploração. “Retpoline substitui saltos indiretos por retornos usando um truque louco”, diz Wikner. “Ele engana o processador a acreditar que houve uma ‘chamada’ feita a partir do local onde o salto indireto foi destinado a levar.”
A motivação para substituir saltos indiretos e chamadas com retornos foi porque a função de retorno era considerada impraticável para explorar, diz ele.
Mas esse não é o caso, diz Wikner. Sua pesquisa mostrou que é possível acionar condições microarquiteturais nas CPUs Intel e AMD que forçam a função de retorno a ser executada especulativamente, assim como era possível com saltos e chamadas indiretas. “Retpoline não [considera] o fato de que os retornos podem ser explorados, em conta”, diz ele. “Isso nos permite contornar a defesa Retpoline.”
Wikner diz que os pesquisadores precisaram de algum trabalho para explorar o problema nos microprocessadores Intel e exigiu que eles encontrassem uma sequência de pilhas de chamadas de função profunda para acioná-lo. “Descobrimos na AMD que todos os retornos podem ser explorados independentemente da pilha de chamadas de função”, diz ele. “Construímos uma estrutura para facilitar também a Intel.”
Bogdan Botezatu, diretor de pesquisa de ameaças da Bitdefender, que no ano passado desenvolveu um ataque de canal lateral próprio contra cpus intel, diz que Retbleed parece ser um ataque de canal lateral, bem como um que ignora uma mitigação estabelecida para spectre. “Esta é mais uma maneira pela qual as CPUs modernas podem ser exploradas para vazar inadvertidamente informações que devem ser consideradas secretas — e para as quais as defesas de hardware são queimadas no silício”, diz ele.
Ele diz que duas coisas valem a pena mencionar quando se fala sobre esse tipo de ataque. Conceitualmente, ele bate medidas embutidas em chips para evitar que os dados vazem de um reino para o outro. “Nas mãos de um paciente e atacante devidamente posicionado, essa vulnerabilidade pode exfiltrar informações importantes de computadores compartilhados ou servidores virtualizados. Isso é ruim”, diz ele.
Complexo para executar
Ao mesmo tempo, tais ataques requerem conhecimento e logística significativos para resultar com sucesso na exfiltração dos dados procurados por um potencial invasor. Alvos de alto perfil devem estar preocupados com a existência dessa vulnerabilidade e devem implantar as mitigações recomendadas pela Intel e amd. “Os ataques de canal lateral são eficazes, mas difíceis de executar e exfiltrar exatamente essa informação que os atacantes estão atrás”, diz Botezatu.
A Intel disse que dois avisos de segurança publicados na terça-feira abordam a pesquisa. Um deles está aqui e o outro aqui. A empresa descreveu o problema como impactando alguns de seus processadores de geração Skylake que não têm um recurso chamado “Especulação Restrita de Ramo Indireto Aprimorado” (eIBRS). “A Intel trabalhou com a comunidade Linux e fornecedores de VMM para fornecer aos clientes mitigações de software para permitir a Especulação Restrita de Galhos Indiretos (IBRS) e a especulação restrita de ramificação indireta (eIBRS) onde suportada.”
Os sistemas Windows não são afetados porque usam o IBRS por padrão, observou a declaração da Intel.
FONTE: DARK READING