Especialistas em segurança da informação descobriram uma nova vulnerabilidade nos chips Intel que pode ser usada para roubar informações confidenciais diretamente do processador. Os pesquisadores o chamaram de “ZombieLoad”. ZombieLoad é um ataque lado a lado direcionado a chips Intel que permite que hackers explorem efetivamente uma falha em sua arquitetura para obter dados arbitrários, mas não permite que injetem e executem código malicioso arbitrário, usando-o assim como a única ferramenta para invasões e hackers em computadores remotos não são possíveis.
Segundo a Intel, o ZombieLoad consiste em quatro bugs no microcódigo de seus chips, que pesquisadores relataram à empresa há apenas um mês. Quase todos os computadores com chips Intel lançados desde 2011 estão vulneráveis à vulnerabilidade. Os chips ARM e AMD não são afetados por esta vulnerabilidade.
ZombieLoad lembra Meltdown e Spectre, que foram sensacionais no passado, que exploravam um bug no sistema de execução especulativa (antecipada) de comandos. A execução especulativa ajuda os processadores a prever até certo ponto o que um aplicativo ou sistema operacional poderá precisar em um futuro próximo, fazendo com que o aplicativo seja executado de maneira mais rápida e eficiente. O processador retornará os resultados de suas previsões se estiverem corretas ou redefinirá os resultados da execução se a previsão for falsa. Tanto o Meltdown quanto o Spectre exploram a capacidade de abusar desse recurso para obter acesso direto às informações que o processador está manipulando.
ZombieLoad se traduz como “carregamento de zumbi”, o que explica parcialmente o mecanismo da vulnerabilidade. Durante o ataque, o processador recebe mais dados do que pode manipular adequadamente, fazendo com que o processador solicite ajuda do microcódigo para evitar uma falha. Normalmente, os aplicativos só podem ver seus próprios dados, mas um bug causado pela sobrecarga da CPU permite contornar essa limitação. Os pesquisadores afirmaram que o ZombieLoad é capaz de obter quaisquer dados utilizados pelos núcleos do processador. A Intel afirma que a correção do microcódigo ajudará a limpar os buffers do processador quando sobrecarregado, evitando que os aplicativos leiam dados que não deveriam ler.
Em um vídeo de demonstração de como funciona a vulnerabilidade, os pesquisadores mostraram que ela pode ser usada para descobrir quais sites uma pessoa está visitando em tempo real, mas também pode ser usada com a mesma facilidade para obter, por exemplo, senhas ou tokens de acesso usados. pelos usuários para transações de pagamento.
Assim como Meltdown e Spectre, ZombieLoad afeta não apenas PCs e laptops, mas também servidores em nuvem. A vulnerabilidade pode ser explorada em máquinas virtuais que devem ser isoladas de outros sistemas virtuais e de seus dispositivos host para potencialmente contornar esse isolamento. Assim, Daniel Gruss, um dos pesquisadores que descobriu a vulnerabilidade, afirma que ela pode ler dados de processadores de servidores da mesma forma que em computadores pessoais. Este é um problema potencialmente sério em ambientes de nuvem onde máquinas virtuais de diferentes clientes estão sendo executadas no mesmo hardware de servidor. Embora os ataques usando ZombieLoad nunca tenham sido relatados publicamente, os pesquisadores não podem descartar que possam ter ocorrido, uma vez que o roubo de dados nem sempre deixa rastros.
O que isso significa para o usuário médio? Não há necessidade de entrar em pânico. Isso está longe de ser uma exploração ou vulnerabilidade de dia zero, onde um invasor pode assumir o controle do seu computador em um instante. Gruss explica que ZombieLoad é “mais fácil que Spectre”, mas “mais difícil que Meltdown” – ambos exigem um certo conjunto de habilidades e esforço para serem usados ofensivamente. Na verdade, para realizar um ataque usando ZombieLoad, você deve de alguma forma baixar o aplicativo infectado e executá-lo você mesmo, então a vulnerabilidade ajudará o invasor a baixar todos os seus dados. No entanto, existem maneiras muito mais fáceis de invadir um computador e roubá-lo.
A Intel já lançou microcódigo para corrigir processadores afetados, incluindo chips Intel Xeon, Intel Broadwell, Sandy Bridge, Skylake e Haswell, Intel Kaby Lake, Coffee Lake, Whiskey Lake e chips Cascade Lake, bem como todos os processadores Atom e Knights. Outras grandes empresas também lançaram uma correção para a vulnerabilidade. Apple, Microsoft e Google também já lançaram patches correspondentes para seus navegadores.
Em entrevista ao TechCrunch, a Intel disse que as atualizações do microcódigo do chip, assim como os patches anteriores, afetarão o desempenho do processador. Um porta-voz da Intel disse que a maioria dos dispositivos de consumo corrigidos poderia sofrer uma perda de desempenho de 3% no pior caso, com perda de até 9% para data centers. Mas, de acordo com a Intel, é improvável que isso seja perceptível na maioria dos cenários.
No entanto, os engenheiros da Apple discordam completamente da Intel, que sobre o método de proteção completa contra “Amostragem de dados microarquiteturais” (nome oficial ZombieLoad) afirmam que para fechar completamente a vulnerabilidade é necessário desabilitar completamente a tecnologia Intel Hyper-Threading nos processadores, que, segundo testes de especialistas da Apple, pode reduzir o desempenho dos dispositivos dos usuários em diversas tarefas em 40% .
Nem a Intel nem Daniel e sua equipe publicaram o código que implementa a vulnerabilidade, portanto não há ameaça direta e imediata ao usuário médio. E os patches lançados imediatamente eliminam-no completamente, mas dado que cada uma dessas correções custa aos usuários certas perdas de desempenho, surgem algumas questões para a Intel.
Fonte: 3dnews.ru