No começo do ano, falamos sobre os ataques Meltdown e Spectre, os quais exploraram as vulnerabilidades na memória kernel dos processadores da Intel presentes em dispositivos – com sistema operacional Windows, MacOS e Linux – criados nos últimos 20 anos. Como consequência, pode haver queda de até 30% no desempenho desses dispositivos. Porém, quando esperava-se que o assunto já estivesse encerrado, os pesquisadores da Universidade de Princeton (Estados Unidos) descobriram duas vulnerabilidades derivadas dos mesmos ataques, as quais foram intituladas de MeltdownPrime e SpectrePrime.
São vulnerabilidades que colocam os vários núcleos das CPUs “uns contra os outros” dentro dos processadores e se aproveitam da facilidade de acesso à memória kernel nos sistemas para executar o roubo de dados sensíveis de usuários. Elas utilizam a abordagem Prime+Probe para dar origem a um ataque temporário à rede corporativa e configuram-se como novas porque as versões originais de Meltdown e Spectre utilizavam a abordagem Flush+Reload.
A abordagem Flush+Reload pode atingir qualquer local de memória, e não apenas a memória compartilhada. Já a abordagem Prime+Probe é considerada mais perigosa pela capacidade de esvaziar a memória do computador infectado, durante o uso de um canal lateral de temporização, aumentando o risco de um vazamento de dados em grande proporção.
Por exemplo: um aplicativo JavaScript executado em um navegador tem potencial de extrair qualquer informação mantida na memória kernel do computador. Embora seja improvável que existam arquivos completos armazenados lá, é muito possível que sejam encontrados e roubados dados valiosos – como chaves SSH, tokens de segurança e até mesmo senhas.
É um tipo de ameaça muito semelhante à violação de informações administrativas e, por isso, as empresas precisam aplicar vários níveis de proteção para criar uma profundidade defensiva em suas redes e aplicativos.
Ou seja, apesar da Intel ter lançado recentemente diversas atualizações de segurança, o ato de proteger os dispositivos contra o MeltdownPrime e o SpectrePrime é “sinônimo” de combater a rapidez de desenvolvimento dos malwares que exploram tais vulnerabilidades. São malwares que têm a atuação possibilitada por pedidos de gravação de dados enviados de forma especulativa, em um sistema que utiliza um protocolo de coerência baseado em “invalidação de códigos de cache”.
Para mitigar as ameaças, as ações de proteção são as mesmas em relação às versões originais de Meltdown e Spectre:
– Realizar todas as atualizações (sistema operacional e firmware) que forem recomendadas no dispositivo;
– Fazer o escaneamento total do sistema, de modo a verificar se houve a instalação de algum software mal-intencionado. Caso tenha havido tal instalação, a remoção deve ser imediata;
– Considerar todos os pontos pelos quais o código pode ser executado e, assim, dificultar ação dos hackers;
– Restringir a execução dos “códigos invalidados” e permitir controles adicionais de monitoramento e proteção dos sistemas; e
– Não fazer download de aplicativos, pois estes também podem ter alguma vulnerabilidade a ser explorada por hackers.
Vulnerabilidades como MeltdownPrime e SpectrePrime demonstram o quão abrangente e impactante são as falhas iniciais de Meltdown e Spectre reveladas em janeiro, com possibilidade de novas (e perigosas) descobertas ao longo do ano.
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
- Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
- Download our free report and learn the risks associated with SaaS data exposure.
- Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.