Visite também: Currículo ·  Efetividade BR-Mac

O que é LinuxDownload LinuxApostila LinuxEnviar notícia


Falha em chips Intel abre brecha para ataque a sistemas operacionais e de virtualização

Via computerworld.uol.com.br:

Alguns sistemas operacionais de 64-Bit e software de virtualização são vulneráveis a ataques locais de elevação de privilégio quando executados em alguns processadore da Intel. A informação foi divulgada pelo U.S. Computer Emergency Readiness Team (US-CERT) em um boletim de segurança nesta quarta-feira, 13/06.

A vulnerabilidade foi identificada como CVE-2012-0217 e é resultado da forma como os processadores Intel implementaram a instrução SYSRET em suas extensões de 64-Bit, conhecidas como Intel 64.

Malfeitores podem explorar esta vulnerabilidade para forçar processadores Intel a retornar uma falha geral de proteção (GPF – General Protection Fault) em modo privilegiado. Isto permitiria e eles executar códigos com privilégios do kernel em uma conta menos privilegiada, ou escapar de uma máquina virtual e ganhar controle do sistema operacional hospedeiro.

A vulnerabilidade só pode ser explorada em processadores Intel quando as extensões Intel 64 estão em uso. Isso significa que sistemas operacionais ou software de virtualização em 32-Bit não são vulneráveis.

Até o momento, a lista de sistemas operacionais confirmados como vulneráveis inclui as versões de 64-Bit do Windows 7 e Windows Server 2008 R2, do FreeBSD e NetBSD, do software de virtualização Xen e também dos sistemas operacionais Red Hat Enterprise Linux e SUSE Linux Enterprise Server, que incluem o Xen por padrão.


• Publicado por Augusto Campos em 2012-06-15

Comentários dos leitores

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Leia os Termos de uso do BR-Linux.

    Tails (usuário não registrado) em 15/06/2012 às 10:20 am

    Sinistro…

    Bug no esquema de virtualização dos chips Intel é recorrente ou persistente. Me lembro que um dev do OpenBSD (há muito tempo atrás) já havia alertado sobre bug de virtualização da Intel, que não poderia ser contornado pelo SO e que permitiria um atacante escapar para o SO hospedeiro.

    No presente caso (não sei se é o mesmo que o dev tinha alertado), estou entendendo que o SO convidado não pode fazer nada contra, por sorte o SO hospedeiro poder fazer, que é deixar de usar a instrução (linguagem de máquina) vulnerável.

    Olhem só que bela vulnerabilidade:

    Access Vector: Locally exploitable
    Access Complexity: Low
    Authentication: Not required to exploit
    Impact Type:Allows unauthorized disclosure of information; Allows unauthorized modification; Allows disruption of service

    Só faltou ser “remotely exploitable” ao invés de “locally”

    http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-0217

    Junin (usuário não registrado) em 15/06/2012 às 11:13 am

    Feliz por ter um AMD :)

    Rodrigo Pinheiro Matias (usuário não registrado) em 15/06/2012 às 2:31 pm

    Será se a AMD esta livre de erros?!

    Tércio Martins (usuário não registrado) em 15/06/2012 às 3:46 pm

    Extraído da notícia:

    Até o momento, a lista de sistemas operacionais confirmados como vulneráveis inclui as versões de 64-Bit do Windows 7 e Windows Server 2008 R2, do FreeBSD e NetBSD, do software de virtualização Xen e também dos sistemas operacionais Red Hat Enterprise Linux e SUSE Linux Enterprise Server, que incluem o Xen por padrão.

    Será que o KVM também é afetado pelo problema?

    Na verdade eu não entendi como o bug pode ser explorado localmente, sem precisar de autenticação para entrar no sistema e não ser possível explorar remotamente.

    Sendo que um SO virtual não têm console física, é necessário um esquema para acesso “remoto” a essa console, ou seja, é necessário um serviço, por parte do hospedeiro que dê esse acesso, ou o próprio SO convidado deve prover isso, com SSH, Xwindow, VNC, etc.

    Do jeito que está me parece que o cara deve estar logado na console do hospedeiro e usar um exploit para induzir um SO convidado a produzir uma falha no hospedeiro e assim conseguir escalação de privilégio no hospedeiro.

    Mas o que parece mais óbvio seria o atacante usar algum serviço do convidado e induzi-lo ao erro, talvez transferindo algo para ele executar e provocar a falha. Mas aí seria um ataque remoto. Idem para o caso do atacante usar a console virtual (e remota) provida pelo hospedeiro.

    Se alguém puder esclarecer….

    marcoapc (usuário não registrado) em 16/06/2012 às 1:47 am

    Não é bug, a falha é proposital usada para ataques e espionagem em vários países.

    Manoel Pinho (usuário não registrado) em 16/06/2012 às 8:09 am

    @Técio Martins

    Creio que não afeta o KVM, porque não há nenhuma notícia sobre essa falha nos sites do KVM e nem nos avisos de segurança da Red Hat

    https://access.redhat.com/security/cve/?year=2012

    Nesta última, só há avisos sobre o problema afetando o Xen

    https://access.redhat.com/security/cve/CVE-2012-0217

    e mesmo assim não afeta o Red Hat 5 ou 6 porque os pacotes do Red Hat já tinham uma outra proteção que evita o ataque.

    Spif (usuário não registrado) em 16/06/2012 às 9:36 am

    “Não é bug, a falha é proposital usada para ataques e espionagem em vários países.”

    http://is.gd/xecuqu

    Marcel (usuário não registrado) em 16/06/2012 às 2:38 pm

    Se o KVM usa os recursos de virtualização da plataforma Intel, sim.
    O problema não é no XEN, é no processador, logo, deve deixar vulnerável quase toda plataforma de virtualização. Só não foi constatada a falha ainda nos outros…

    Eduardo Martins (usuário não registrado) em 17/06/2012 às 2:45 pm

    @Xinuo, Isso é uma questão de terminologia.

    Quando se diz que uma falha é “explorável localmente”, não significa que é necessário acesso físico à máquina. Significa que você precisa previamente ter acesso a uma conta de usuário qualquer na máquina, que pode ter sido obtida de forma legítima ou por meio de outros ataques. Pode ser desde uma conta ssh qualquer até uma falha de PHP injection que te permita rodar comandos como o usuário httpd ou apache.

    Quando se diz que uma falha é “explorável remotamente”, significa que não é necessário ter nenhum acesso prévio ao sistema para explorá-la. A exploração é imediata e não depende de outras falhas estarem presentes ou de você possuir alguma conta de acesso na máquina.

    Dessa forma, os ataques que você descreveu, apesar de realizados à distância, não são ditos “remotos”, mas sim “locais”.

    Eduardo Martins (usuário não registrado) em 17/06/2012 às 2:59 pm

    @Marcel,

    A falha não tem nada a ver com a plataforma de virtualização da Intel.

    A falha é devido à implementação de SYSRET da Intel não ter seguido a mesma especificação da AMD (que inventou essa instrução). Essa instrução é usada para retornar de syscalls, tanto que a falha nos BSDs não tem nada a ver com virtualização.

    Apenas instalações paravirtualizadas do Xen estão vulneráveis. Instalações que usam virtualização completa (Xen/HVM) não estão vulneráveis, bem como KVM e outros softwares que usem virtualização completa.

Este post é antigo (2012-06-15) e foi arquivado. O envio de novos comentários a este post já expirou.