Instruções de segurança para os problemas Meltdown e Spectre

As vulnerabilidades Meltdown (CVE-2017-5754) e Spectre (CVE-2017-5753 / CVE-2017-5715), que afetam vários processadores, podem permitir que utilizadores e programas normais sem privilégios intervenham na memória kernel para ler dados arbitrários da memória principal. Isto inclui senhas, chaves privadas, certificados e outras informações sensíveis.

Estes problemas podem ser abordados nos sistemas afetados, em parte, por atualizações do kernel e do firmware, de acordo com o sistema operativo. No artigo de hoje abordamos algumas questões relacionadas com segurança, nomeadamente atualizações que tentam mitigar estes problemas.

Grande parte dos servidores e computadores com processadores x86 da Intel ou AMD, e smartphones com chips ARM, são afetados por estas vulnerabilidades. Estas só podem ser exploradas se um potencial invasor tiver a capacidade de executar código.

Meltdown (CVE-2017-5754): Esta vulnerabilidade afeta todos os processadores da Intel lançados desde 1995 (exceto Itanium e Atom até 2013), e também alguns ARM, nomeadamente da série Cortex. Os processadores AMD não estão afetados.

Spectre (CVE-2017-5753, CVE-2017-5715): Presentes nos processadores Intel, ARM e AMD, ambas as variantes do Spectre são complicadas de solucionar. Enquanto que as várias atualizações lançadas tentam resolver algumas questões, os especialistas concordam que a única verdadeira correção está ao nível do hardware.

Atualizações para Windows

A Microsoft tem feito alguns esforços para lançar atualizações que tentem colmatar problemas relacionados com o Meltdown e Spectre. No entanto, essa tarefa não tem sido fácil, marcada pela incompatibilidade com programas de antivírus de terceiros e processadores AMD. Em algumas situações, as atualizações de segurança foram restringidas e até mesmo suspensas.

Confira os detalhes das atualizações nos links que se seguem:

• Windows 10
  • Versão 1507 — KB4056893 (Lançada a 03/01/2018)
  • Versão 1511 — KB4056888 (Lançada a 03/01/2018)
  • Versão 1607 — KB4056890 (Lançada a 03/01/2018)
  • Versão 1703 — KB4056891 (Lançada a 03/01/2018)
  • Versão 1709 — KB4056892 (Lançada a 03/01/2018)

• Windows 8
  • Windows 8.1 — KB4056898 (Apenas de segurança, lançada a 03/01/2018)
  • Windows 8.1 — KB4056895 (Rollup mensal, lançada a 08/01/2018)

• Windows 7
  • Windows 7 SP1 — KB4056897 (Apenas segurança, lançada a 03/01/2018)
  • Windows 7 SP1 — KB4056894 (Rollup mensal, lançada 04/01/2018)

Estas atualizações mitigam a variante 1 do Spectre (CVE-2017-5753) “Bounds Check Bypass”, e a variante 3 do Meltdown (CVE-2017-5754) “Rogue Data Cache Load”. No que trata a variante 2 do Spectre (CVE-2017-5715) “Branch Target Injection”, são necessárias atualizações ao nível do firmware. De referir que para sistemas Windows 32 bits (baseados em x86) não existe proteção para Meltdown.

Com já referido, a Microsoft descobriu, durante a fase de testes, a existência de incompatibilidade com alguns antivírus que davam origem a falhas no sistema (BSOD). Por esta razão, as atualizações de segurança de 03/01/2018 e subsequentes passaram a ser lançadas apenas para dispositivos que executem antivírus de terceiros, cuja compatibilidade com a atualização de segurança referente a janeiro de 2018 foi confirmada.

O antivírus deverá estabelecer a seguinte chave de registo:

Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" 
Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD” Data="0x00000000”

Como não podia deixar de ser, esta situação levantou alguma confusão, principalmente porque alguns antivírus não estão a definir as chaves de registo automaticamente, passando esta tarefa para o lado do utilizador. Apenas o Windows Defender, o System Center Endpoint Protection e o Microsoft Security Essentials são compatíveis com estas atualizações, não sendo necessária a definição manual da chave de registo. Confira aqui a lista da Microsoft e aqui os fornecedores de antivírus que já confirmaram a definição da chave de registo.

Se por ventura tiver um antivírus cuja chave não tenha sido adicionada pelo fornecedor, pode fazê-lo manualmente adicionando esta chave de registo.

Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" 
Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”

A seguir aceda ao Windows Update e procure por novas atualizações. Caso lhe apareçam as de segurança, instale-as e verifique através da linha de comandos do PowerShell o estado do sistema. Consulte os comandos neste artigo.

Há dois cenários possíveis:

De acordo com a imagem acima, o sistema recebeu as atualizações para o Meltdown, mas incompletas para o Spectre (vermelho). Isto acontece porque são necessárias atualizações adicionais, nomeadamente do firmware. Dependendo da idade da máquina em questão, poderão ou não existir atualizações para ele.

Se tudo estiver em conformidade, este deve ser o resultado.

Problemas de compatibilidade com a AMD

A Microsoft recebeu vários relatos de máquinas com processadores AMD, especialmente das famílias Opteron, Athlon e AMD Turion X2 Ultra, cujos sistemas não arrancavam por culpa das atualizações de segurança mais recentes. Uma vez confirmados, todas elas foram interrompidas a 9 de Janeiro. Os utilizadores afetados devem consultar estas instruções para resolver o problema. Entretanto, a 18 de Janeiro, foram retomadas as seguintes:

• Windows 10, Versão 1507 — KB4056892 (Lançada a 03/01/2018)
• Windows 8.1 — KB4056898 (Apenas de segurança, lançada a 03/01/2018)
• Windows 8.1 — KB4056895 (Rollup mensal, lançada a 08/01/2018)
• Windows 7 SP1 — KB4056897 (Apenas segurança, lançada a 03/01/2018)
• Windows 7 SP1 — KB4056894 (Rollup mensal, lançada 04/01/2018)

Diminuição do desempenho

Ora, estas questões de segurança podem ser parcialmente resolvidas isolando totalmente o núcleo de memória. Em contrapartida, podem dar origem a uma quebra do desempenho. O impacto destas correções pode diferenciar entre as várias versões do Windows e a idade da máquina:

• 2016 com Windows 10 e CPU Skylake, Kabylake ou mais recente, dificilmente será notada alguma diferença.
• 2015 com Windows 10 e CPU Haswell ou mais antigos, poderá ser notada alguma quebra do desempenho.
• 2015 com Windows 7 ou Windows 8, com CPU Haswell ou mais antigos, provavelmente será percetível.

Atualizações para MacOS e iOS

A Apple lançou, em Dezembro de 2017, algumas correções para o Meltdown nas atualizações 10.13.2 (MacOS) e 11.2 (iOS). Desde essa data, outras foram lançadas para mitigar o Spectre com as atualizações 10.13.2 Supplemental Update (MacOS High Sierra) e 11.2.2 (iOS).

Mais recentemente, juntamente com o MacOS High Sierra 10.13.3, a Apple lançou duas novas atualizações de segurança (2018-001), projetadas para resolver as vulnerabilidades Meltdown e Spectre em máquinas que executam o MacOS Sierra e OS X El Capitan.

A Apple continua a trabalhar em novas atualizações:

• Um patch Meltdown para MacOS High Sierra;
• Um patch Spectre para MacOS Sierra e OS X El Capitan;
• Atualizações de firmware EFI para as diversas máquinas Mac.

Atualizações para Linux

A comunidade Linux também têm feito os possíveis para lidar com esta situação. A atualização mais recente do kernel (4.14.13) foi projetada para mitigar o Meltdown com Kernel Page Table Isolation (KPTI). Os patches mais completos, que englobam também processadores ARM64, deverão estar disponíveis brevemente.

Relativamente a ambas as variantes do Spectre, existe uma tentativa de implementar Retpoline, uma técnica de modificação binária introduzia pela Google com o objetivo de lidar com esta vulnerabilidade. Atualmente, encontra-se em testes para avaliar o potencial impacto no desempenho.

Para ajudar a determinar se as instalações do kernel do Linux são vulneráveis ao Meltdown e Spectre, foi desenvolvido um script que pode ser testado de acordo com as seguintes instruções:

Passo 1: Em primeiro lugar deve instalar script.

$ cd /tmp/
$ wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh

Passo 2: De seguida, execute-o com utilizador root

$ sudo sh spectre-meltdown-checker.sh

Nota: Este teste foi realizado numa máquina virtual com o sistema operativo Linux Ubuntu 16.04.1 com o kernel 4.8.0.36-generic.

Para instalar o patch relativo ao Meltdown e às duas variantes do Spectre nas distribuições Debian e Ubuntu, saiba que o pode fazer da seguinte forma:

//Antes de prosseguir, certifique se tem um backup.
uname –r //Anote a versão atual do kernel
sudo apt-get update
sudo apt-get dist-upgrade
sudo shutdown –r 0

Na eventualidade de pretender instalar o firmware via terminal utilizando o gestor de pacotes, pode fazê-lo de acordo com os comandos abaixo indicados. No final, certifique-se que reinicia o sistema. Verifique o microcódigo através de dmesg | grep 'microcode'.

• Intel (Debian/Ubuntu): sudo apt install intel-microcode
• AMD (Debian/Ubuntu): sudo apt install amd64-microcode

Atualizações do navegador

No contexto da web, a exploração mais provável do Spectre ocorre por intermédio de JavaScript, cujo intuito é obter informações como chaves de sessão, cache do navegador, etc. Como tal, Google, Mozilla, Apple e Microsoft, já lançaram ou estão para lançar, atualizações para minimizar este risco.

• Chrome: Recentemente, foi lançada para Windows, Mac, Linux e Android uma nova versão do Chrome (64.0.3282.119 à data do artigo). Esta, traz melhorias ao bloqueador de anúncios interno, além de outros recursos que têm como objetivo melhorar o suporte do navegador perante padrões web que impulsionam a Internet moderna. Fale-se de novas propriedades relacionadas com CSS, novos recursos JavaScript (ECMAScript) e alterações ao interpretador JavaScript V8. Ainda assim, pode sempre ativar a opção “Strict site isolation” através do endereço chrome://flags/#enable-site-per-process. Ativar esta opção levar a um aumento do consumo de memória entre 10% a 20%.

• Firefox: Este, surge também numa nova versão (58.0 à data artigo), que ajuda a resolver um vasto leque de vulnerabilidades. À semelhança do Chrome, também é possível ativar a funcionalidade “First-Party Isolation” acedendo ao endereço about:config, colocando firstparty.isolate como true. Basicamente, o principal objetivo é isolar os diversos websites e recursos do navegador em cada processo individual, garantido alguma segurança acrescida.

• Safari: A versão 11.0.2, lançada a 8 de Janeiro, inclui melhorias para mitigar os efeitos de ambas as variantes do Spectre. À data do artigo, conta com a versão 11.0.3.

• Internet Explorer e Edge: A Microsoft também realizou alterações em ambos os navegadores. Além de remover o suporte para “SharedArrayBuffer” no Edge, foram feitas alterações que aumentaram substancialmente a dificuldade em atingir o conteúdo do cache do processador a partir de um processo do navegador.

Atualizações do firmware Intel

Uma vez que as atualizações do sistema operativo e do navegador apenas mitigam parcialmente o Meltdown e o Spectre, é necessário que sejam desenvolvidas e aplicadas atualizações ao nível do firmware. Deve, periodicamente, consultar na fonte oficial a disponibilidade das mesmas.

Na página de download da Intel é possível encontrar o microcódigo, disponível para 40 versões Linux, válidas para 2731 processadores Intel, a partir do Pentium D 150 MHz do ano 1995, que podem ser utilizados para mitigar as vulnerabilidades das três variantes. Mas atenção, esta versão do microcódigo não tem efeito em todos os processadores.

Com base nas informações aqui encontradas, a tabela abaixo indica aqueles que são abrangidos. A primeira coluna corresponde à família de processadores, a segunda à abreviatura das notas de lançamento, e a terceira ao novo número de revisão das notas de lançamento. Num comentário, um leitor referiu que os valores hexadecimais entre parêntesis são interpretados da seguinte forma family-model-stepping:unknown.

Os utilizadores Windows também podem vir a receber atualizações de microcódigos, mas estes precisam de ser testados pela Microsoft e lançados posteriormente como atualização. A última, além dos chamados hotfixes, foi lançada em 2015. De momento, resta aguardar.

Relativamente à atualização do firmware nos CPUs Broadwell e Haswell, Ivy Bridge, Sandy Bridge, Skylake e Kaby Lake, foram relatados alguns problemas em que o sistema reiniciava subitamente. Uma vez descoberta a raiz dos problemas nas microarquitecturas Broadwell e Haswell, a Intel está a trabalhar no desenvolvimento de um novo patch. Enquanto isso, é recomendado que não seja aplicado o patch atual.

Conclusão

Todas as questões relacionadas com o Meltdown e Spectre ainda estão a ser cuidadosamente analisadas. Percebe-se que existe alguma dificuldade em corrigir estas vulnerabilidades, principalmente do Spectre. Cuidadosamente, se for um utilizador bem informado sobre o assunto, pode optar por aplicar e testar as demais atualizações. Atente nos problemas já relatados após as atualizações disponibilizadas.

O CEO Brian Krzanich afirmou, durante a apresentação dos resultados financeiros do quarto trimestre, que serão lançados novos processadores Intel com proteções internas contra o Meltdown e o Spectre ainda este ano. Alguns rumores dizem que o processo de fabrico pode descer para os 10nm, embora o chipmaker tenha dado a entender que ele se manterá nos 14nm.

Novidades da Intel para os seus processadores