Protegendo nossos clientes das ameaças à segurança

Detalhes e informações sobre a falha Terminal L1

 

Por Leslie Culbertson

A equipe de Qualidade e Segurança dos Produtos da Intel (IPAS – Intel’s Product Assurance and Security) trabalha concentrada no cenário da segurança cibernética e proteção de nossos clientes. Entre as iniciativas recentes, estão a expansão do nosso programa de recompensas Bug Bounty e mais parcerias com a comunidade de pesquisa, além dos testes internos de segurança em curso e revisão de nossos produtos. Estamos empenhados nesses esforços porque reconhecemos que agentes mal-intencionados seguem atuando com ataques cada vez mais sofisticados, e isso exige que trabalhemos juntos para apresentar soluções.

Hoje, a Intel e parceiros da indústria estão compartilhando mais detalhes e informações de mitigação sobre um método de execução especulativa usando canais laterais identificado recentemente, chamado Falha Terminal L1 (L1TF). Esse método afeta alguns microprocessadores que usam Intel® Software Guard Extensions (Intel® SGX) e nos foi relatado primeiro por pesquisadores de KU Leuven University*, Technion – Israel Institute of Technology*, University of Michigan*, University of Adelaide* e Data61*1. Uma pesquisa adicional feita pela nossa equipe de segurança identificou outras duas aplicações relacionadas do L1TF com potencial para impactar outros microprocessadores, sistemas operacionais e software de virtualização.

Já vou abordar a questão da mitigação: atualizações de microcódigo (MCUs) lançadas no início deste ano são um componente importante da estratégia de mitigação para todas as três aplicações da L1TF. Quando associadas a atualizações correspondentes para sistemas operacionais e software de hipervisor liberadas hoje pelos nossos parceiros da indústria e comunidades de código aberto, elas ajudam a garantir que consumidores, profissionais de TI e prestadores de serviços de nuvem terão acesso as proteções de que precisam.

A L1TF também pode ser tratada por mudanças que já estamos fazendo no nível do hardware. Como anunciado em março, essas mudanças começam com a nova geração de nossos processadores Intel® Xeon® Scalable (codinome Cascade Lake) e também com os novos processadores de consumo com previsão de lançamento para ainda este ano.

Não temos conhecimento de casos envolvendo qualquer um desses métodos no mundo real, mas isso não descarta a necessidade de cumprir as práticas recomendadas de segurança. Incluindo manter os sistemas atualizados e tomar as providências para se proteger contra malware. Mais informações sobre as melhores práticas de segurança estão disponíveis no site Homeland Security.

Sobre a Falha Terminal L1

Todas as três aplicações da L1TF são vulnerabilidades de sincronismo de cache na execução especulativa via canais laterais. Nesse quesito, são semelhantes às variantes relatadas anteriormente. Esses métodos especiais têm como alvo o acesso ao cache de dados L1, um pequeno conjunto de memória dentro de cada núcleo de processador projetado para armazenar informações sobre o que o núcleo provavelmente processará na sequência.

As atualizações de microcódigo lançadas no início deste ano fornecem uma maneira para o sistema limpar esse cache compartilhado. Dada a complexidade do que falamos, criamos um vídeo curto (em inglês) para ajudar a explicar a L1TF.

 

Depois de ter os sistemas atualizados, esperamos reduzir ao mínimo o risco para consumidores e usuários corporativos usando sistemas operacionais não virtualizados. Isso inclui a maioria da base instalada em data centers e a grande maioria de PCs de usuários finais. Nesses casos, não vimos nenhum impacto significativo no desempenho gerado pelos métodos de mitigação citados acima, com base em benchmarks que usamos com nossos sistemas de teste.

Há uma parcela do mercado – especificamente um subconjunto de usuários da tecnologia tradicional de virtualização e principalmente em data centers – em que pode ser aconselhável adotar meios adicionais para proteger os sistemas. Isso é indicado principalmente para se proteger contra situações em que o administrador de TI ou provedor de serviços de nuvem não podem garantir que todos os sistemas operacionais virtualizados foram atualizados. Essas ações podem incluir a ativação de recursos específicos de agendamento de núcleos hipervisor ou optar por não usar a tecnologia hyper-threading em alguns cenários específicos. Ainda que esses passos possam envolver uma parte relativamente pequena do mercado, achamos que é importante fornecer soluções para todos os nossos clientes.

Nessas situações específicas, o desempenho ou a utilização de recursos em algumas cargas de trabalho especiais podem ser afetados e variar de caso a caso. Nós e nossos parceiros estamos trabalhando em várias soluções para que os clientes possam escolher a melhor opção para suas necessidades. Como parte dessa iniciativa, desenvolvemos um método para detectar ataques que usam a L1TF durante a operação do sistema, aplicando os métodos de mitigação somente quando necessário. Fornecemos microcódigo com esse recurso para que alguns de nossos parceiros o avaliem e esperamos expandir essa oferta ao longo do tempo.

Para obter mais informações sobre a L1TF, incluindo orientações detalhadas para profissionais de TI, visite a central de segurança. Também oferecemos um white paper e FAQs atualizadas no nosso site Security First.

Gostaria de agradecer novamente nossos parceiros da indústria e pesquisadores que relataram o problema pela colaboração e compromisso de fazer uma divulgação coordenada. A Intel está comprometida com a segurança dos nossos produtos e continuará fornecendo atualizações regulares para tratar vulnerabilidade assim que as identificarmos e reduzirmos os impactos.

Como sempre, continuamos incentivando todos a usar as últimas atualizações de segurança, mantendo os sistemas atualizados.

Leslie Culbertson é vice-presidente executiva e gerente geral de Garantia e Segurança dos Produtos da Intel Corporation.
1Raoul Strackx, Jo Van Bulck, Marina Minkin, Ofir Weisse, Daniel Genkin, Baris Kasikci, Frank Piessens, Mark Silberstein, Thomas F. Wenisch e Yuval Yarom

Sobre a Intel:

A Intel (NASDAQ: INTC), líder na indústria de semicondutores, está construindo o futuro orientado ao uso de dados pela computação e telecomunicações como base das inovações. O vasto conhecimento em engenharia da Intel ajuda as empresas a enfrentarem os maiores desafios do mundo, além de proteger, alimentar e interligar bilhões de dispositivos e infraestrutura de um mundo inteligente e integrado - da nuvem à rede, do começo ao fim, conectando tudo que há no meio.
Para mais informações sobre a Intel, acesse:
newsroom.intel.com e intel.com.

Intel e o logo da Intel são marcas registradas da Intel Corporation ou suas subsidiárias nos Estados Unidos e/ou outros países.

*Outros nomes e marcas são de propriedade de seus respectivos donos.