O ataque se baseia em pesquisas anteriores que levaram aos ataques de Spectre e Meltdown. Este ataque recém-divulgado ignora todos os mecanismos de mitigação conhecidos implementados em resposta a Specter e Meltdown.
Pesquisadores da Bitdefender identificaram e demonstraram um novo ataque de canal lateral.
O ataque SWAPGS afeta os processadores Intel mais recentes que usam execução especulativa. O Hypervisor Introspection da Bitdefender torna os sistemas Windows imunes a este novo ataque.
Em busca de CPUs cada vez mais rápidas, os fornecedores implementaram várias versões de execução especulativa.
Essa funcionalidade faz com que a CPU faça suposições sobre as instruções que podem ser necessárias antes de determinar se as instruções são, de fato, necessárias.
Essa execução especulativa pode deixar rastros em cache que os invasores podem usar para liberar memória kernel privilegiada.
Esse ataque tira proveito de uma combinação de execução especulativa da Intel de uma instrução específica (SWAPGS) e o uso dessa instrução pelos sistemas operacionais Windows dentro do que é conhecido como um gadget.
O que torna a pesquisa sobre esses ataques de ponta em comparação com ataques cibernéticos contra vulnerabilidades mais tradicionais é que ela chega à raiz de como as CPUs modernas operam.
Para investigar adequadamente, as equipes de pesquisa devem entender completamente os internos da CPU (previsão de ramificação, execução fora de ordem, execução especulativa, pipeline e caches), internos do SO (chamadas do sistema, interrupção e manipulação de exceção e KPTI), canal lateral e ataques de execução especulativa.
Impacto
Os sistemas Windows sem correção executados em hardware Intel de 64 bits são suscetíveis a vazamentos de memória do kernel sensível, inclusive do modo de usuário.
O ataque SWAPGS contorna todas as técnicas de mitigação conhecidas que são implantadas contra ataques anteriores do canal lateral em vulnerabilidades na execução especulativa.
Resolver essas vulnerabilidades é extremamente desafiador. Uma vez que eles se encontram profundamente dentro da estrutura e operação de CPUs modernas, remover completamente as vulnerabilidades envolve a substituição de hardware ou a desativação de funcionalidades que melhoram muito o desempenho.
Da mesma forma, a criação de mecanismos de mitigação é altamente complexa e pode prejudicar os ganhos de desempenho obtidos pelos recursos de execução especulativa.
Por exemplo, eliminar completamente a possibilidade de ataques de canal lateral contra a funcionalidade de execução especulativa dos processadores Intel exigiria uma desativação completa do hyperthreading, o que prejudicaria seriamente o desempenho.
Como o ataque SWAPGS foi descoberto e divulgado
Desde a publicação de Meltdown e Spectre, pesquisadores examinaram o recurso de execução especulativa de CPUs modernas, particularmente ataques de canal lateral visando o recurso focado no desempenho de CPUs modernas.
Pesquisadores da Bitdefender trabalharam com a Intel por mais de um ano antes da divulgação pública deste novo ataque. A Bitdefender também trabalhou em estreita colaboração com a Microsoft, que desenvolveu e publicou um patch. Outros fornecedores no ecossistema também estão envolvidos.
A Bitdefender publicou um whitepaper detalhado, incluindo um cronograma detalhado de divulgação, descrevendo a pesquisa por trás do ataque. A Bitdefender também publicou um posts no blog explicando o ataque e um vídeo demonstrando isso.
Migração
Embora a implementação do patch da Microsoft seja altamente recomendada, o Hypervisor Introspection fornece um controle de compensação eficaz até que os sistemas possam ser corrigidos.
O Hypervisor Introspection analisa a memória das VMs convidadas e identifica objetos de interesse, O Bitdefender mitigou esta vulnerabilidade, antes do lançamento de qualquer patch aplicável, instrumentando cada instrução SWAPGS vulnerável para garantir que ela não seja executada especulativamente, impedindo vazamentos de memória do kernel.
Apesar de seus melhores esforços, muitas organizações lutam para implantar patches em um cronograma ideal. O Hypervisor Introspection ajuda a preencher a lacuna entre o lançamento e a implantação de patches para vulnerabilidades sérias de segurança.
O Hypervisor Introspection é exclusivo do Bitdefender. Hoje, é suportado com Citrix Hypervisor, Xen, and KVM como uma prévia da tecnologia.
Sobre o Hypervisor Introspection
O Hypervisor Introspection aproveita as vantagens inerentes obtidas com a posição dos hipervisores em relação ao hardware subjacente e aos sistemas operacionais virtualizados. Incluindo máquinas virtuais Windows, Linux, Desktops e Servidores.
Em tempo real, o Hypervisor Introspection inspeciona a memória bruta da execução de máquinas virtuais. Ele procura por sinais de técnicas de ataque baseadas em memória usadas consistentemente para explorar vulnerabilidades, ambos conhecidos e desconhecidos.
O Hypervisor Introspection é uma poderosa abordagem de segurança exclusiva do Bitdefender. A pesquisa e o desenvolvimento da Bitdefender trabalharam com o Xen Project para estender a Virtual Machine Introspection (VMI) no hypervisor Xen.
A Citrix adotou a funcionalidade do Citrix Hypervisor como APIs do Direct Inspect. O Bitdefender também continua trabalhando com o KVM e outras comunidades de código aberto, além de mais pesquisa e desenvolvimento para cenários não virtualizados, como sistemas embarcados.
Outro exemplo de alto perfil dos recursos do Hypervisor Introspection veio antes do lançamento do EternalBlue, que mais tarde foi usado na onda de ransomware WannaCry. Sem conhecimento do ataque cibernético específico ou da vulnerabilidade subjacente, o Hypervisor Introspection bloqueou o ataque, uma vez que aproveita uma técnica de ataque de buffer overflow, “estouro de buffer”.
Embora o uso de buffer overflow para explorar vulnerabilidades não seja novo, a rápida adoção de EternalBlue pelos ataques do WannaCry demonstrou, mais uma vez, que as organizações geralmente não podem implantar patches críticos a tempo de evitar ataques cibernéticos.
Seja considerando técnicas de ataque testadas e verdadeiras, como buffer overflow, spray de heap, injeção de código ou ataques altamente sofisticados que exploram vulnerabilidades nos níveis mais profundos da funcionalidade de hardware.
O Hypervisor Introspection demonstra como a segurança, o hardware, a virtualização e os fornecedores de sistemas operacionais podem cooperar para produzir novas e poderosas abordagens de segurança que detenham a maré de ataques altamente sofisticados.
Recomendações
O ataque SWAPGS explora, através de um ataque de canal lateral, uma falha no regime de execução especulativa dos modernos processadores da Intel.
Este ataque ignora os mecanismos de mitigação criados para impedir ataques anteriores. Como o ataque alavanca a instrução SWAPGS quando envolvida especulativamente, aplicar correções para sistemas operacionais que podem usar o SWAPGS especulativamente é altamente recomendada.
Dado o escopo da pesquisa realizada pela equipe da Bitdefender que descobriu o ataque SWAPGS, os sistemas vulneráveis conhecidos são limitados àqueles que hospedam o sistema operacional Windows nos modernos processadores Intel capazes de realizar a execução especulativa.
Até que os patches possam ser aplicados, é altamente recomendável mover as cargas de trabalho em execução nos sistemas operacionais vulneráveis para os hosts que executam o Bitdefender Hypervisor Introspection via Citrix Hypervisor ou Xen.
Perguntas frequentes
Quais são as informações mais sensíveis armazenadas no kernel? Senhas? Credenciais de acesso?
Informações confidenciais podem ser qualquer coisa que possa permitir que o invasor desenvolva um ataque. Por exemplo, ponteiros ou endereços que podem permitir que um invasor realize ainda um escalonamento de privilégios. Um invasor também pode exfiltrar outras informações confidenciais, como senhas, chaves de criptografia, tokens ou credenciais de acesso, que podem estar presentes na memória do kernel.
Essa vulnerabilidade pode expor detalhes do cartão de crédito armazenados nas contas e navegadores do Google?
Se as informações roubadas inicialmente permitirem que o cibercriminoso desenvolva um ataque (por exemplo, um escalonamento de privilégios), sim, isso é possível.
Quais processadores Intel são afetados? Quais séries e anos?
Todos os processadores da Intel que suportam as instruções SWAPGS e WRGSBASE são afetados. Isso significa basicamente qualquer coisa, desde o Intel Ivy Bridge (lançado em 2012) até a mais recente série de processadores no mercado.
Quais tipos de dispositivos são afetados? Servidores apenas? Os laptops e desktops estão em risco?
Qualquer dispositivo executando uma Intel Ivy Bridge ou uma CPU mais recente: desktops, laptops, servidores, etc. Tanto usuários domésticos quanto corporativos são afetados por essa vulnerabilidade.
Se estou usando a Apple, estou em risco?
A Bitdefender espera que os dispositivos da Apple NÃO sejam vulneráveis, mas devem aguardar sua posição oficial assim que tudo for liberado.
