OVH – L1 Terminal Fault (L1TF)/Foreshadow disclosure

No âmbito da nossa parceria com a Intel, fomos informados da descoberta de um vetor que explora as falhas de tipo “ataques de canal paralelo de execução especulativa” (speculative execution side-channel attacks). Esta nova vulnerabilidade, chamada L1 Terminal Fault (L1TF), ou Foreshadow, está ligada às falhas Spectre e Meltdown, descobertas em janeiro e em maio de 2018.

 

O que é “L1TF”?

Batizada como “L1 Terminal Fault” (L1TF), ou “Foreshadow”, esta vulnerabilidade afeta os processadores dotados de uma tecnologia SMT (mais conhecida na Intel sob a denominação “Hyper-Threading”). Pode permitir que um código maligno executado num thread aceda a dados da cache L1 de outro thread no seio de um mesmo núcleo.

A vulnerabilidade L1TF/Foreshadow é muito complexa e apenas uma proof of concept (criada em laboratório) foi capaz de validar a sua existência. Embora nada permita pensar que possa ter sido realmente explorada, já foram criados três identificadores CVE (de nível “high”):

  • L1 Terminal Fault – SGX (CVE-2018-3615) 7.9 High CVSS: 3.0/AV: L/AC: L/PR: N/UI: N/S: C/C: H/I: L/A: N;
  • L1 Terminal Fault – OS, SMM (CVE-2018-3620)
7.1 High CVSS: 3.0/AV: L/AC: L/PR: N/UI: N/S: C/C: H/I: N/A: N;
  • L1 Terminal Fault – VMM (CVE-2018-3646)
7.1 High CVSS: 3.0/AV: L/AC: L/PR: N/UI: N/S: C/C: H/I: N/A: N.

 

 

Como pode fazer para se proteger desta vulnerabilidade?

A mitigação destas três variantes do L1 Terminal Fault (L1TF) assenta em duas ações:

  • a utilização dos microcódigos fornecidos desde maio (através do boot UEFI da OVH e/ou o sistema operativo);
  • a atualização dos sistemas operativos e dos kernels (os principais editores de SO e de hipervisores vão dar início à distribuição de patches).

A OVH aplicará estes patches nos hosts quando estiverem disponíveis e quando tivermos, como é hábito, validado internamente o conjunto dos nossos testes de não-regressão.

Por isso, os clientes detentores de um serviço gerido (alojamento web, e-mails, etc.) não precisam de realizar nenhuma ação.

Paralelamente, quanto aos clientes que disponham de um acesso root às suas infraestruturas (servidores dedicados, VPS, Public Cloud, Private Cloud, etc.), a sua proteção será assegurada por uma atualização do sistema operativo e dos kernels (https://docs.ovh.com/pt/dedicated/atualizar-kernel-servidor-dedicado).

 

 

Esclarecimentos quanto à variante CVE-2018-3646

No caso particular da variante 3646 do Foreshadow, os editores podem precisar de algum tempo para disponibilizar uma correção. Enquanto isso, pode proteger-se dessa variante desativando o Hyper-Threading. Consoante os casos, é possível desativá-lo diretamente a partir do SO (Linux, Windows, etc.). Fomos informados de que o VMware ESXi deverá disponibilizar esta funcionalidade numa próxima atualização.

No entanto, tenha em atenção que o impacto desta operação em termos de desempenho pode ser importante. Tendo em conta a complexidade da exploração deste problema, aconselhamos que espere pelas recomendações do editor do SO ou do hipervisor utilizado, antes de proceder a uma desativação do Hyper-Threading.

 

 

Recomendações gerais

Como sempre, encorajamos os nossos clientes a simplesmente manter os seus sistemas atualizados, de modo a garantir medidas de proteção eficientes.

Enquanto fornecedor mundial de alojamento e de serviços cloud, trabalhamos em estreita colaboração com os nossos parceiros, tanto fabricantes como editores, de forma a aperfeiçoar continuamente a segurança das nossas infraestruturas. Aplicamos patches e correções quando novas vulnerabilidades são descobertas, além de outras medidas internas de proteção.

A vulnerabilidade L1 Terminal Fault (L1TF)/Foreshadow não escapa a esta regra. Porém, face à mediatização da sua descoberta, e fiéis aos valores de transparência da OVH, desejamos com esta mensagem responder às questões dos nossos clientes.

 

 

Para mais informações:

http://travaux.ovh.net/?do=details&id=33475

https://foreshadowattack.eu/

https://software.intel.com/security-software-guidance/software-guidance/l1-terminal-fault

 

 

Ligações para as páginas dos editores:

Área de ClienteContacto comercialWebmail OVHcloud Blog

Bem-vindo/a à OVHcloud!

Identifique-se para encomendar, gerir os seus produtos e serviços e seguir as suas encomendas

Aceder