Usuários avançados de Mac que estão em um ambiente de ameaça adversária particularmente forte podem sentir a necessidade de permitir a mitigação total da vulnerabilidade do processador Intel MDS em seus computadores Mac (e PCs). MDS significa Microarchitectural Data Sampling (MDS), coloquialmente chamado de “Zombieload”, e é basicamente uma vulnerabilidade no próprio processador Intel real que poderia, teoricamente, levar um invasor a acessar dados confidenciais em qualquer computador Intel afetado, Mac ou PC.(Se você acompanhar as notícias de segurança de perto, a vulnerabilidade Zombieload é como as falhas de segurança Spectre e Meltdown do ano passado).

Embora a Apple tenha aplicado patches de segurança ao macOS Mojave 10.14.5 e à atualização de segurança 2019-003 para High Sierra e Sierra, isso deve ajudar a evitar problemas para a maioria dos usuários de Mac, outros usuários de Mac operando com segurança extraordinariamente elevada ambientes de risco podem sentir a necessidade de ir além e permitir a mitigação total contra MDS / Zombieload.

Habilitar a mitigação total para a vulnerabilidade do Intel MDS envolve desabilitar o hyper-threading na própria CPU, o que pode resultar em uma redução de desempenho de aproximadamente 40% na máquina. Obviamente, isso é um golpe de desempenho bastante sério e, portanto, a grande maioria das pessoas não deve se preocupar com isso, pois a grande maioria das pessoas também não estará sob um ambiente de ameaça à segurança que as colocaria em risco de serem alvo desse tipo de vulnerabilidade.

No entanto, se você estiver particularmente preocupado com o vetor de ataque Zombieload / MDS em um Mac com uma CPU Intel, discutiremos como habilitar a mitigação total contra o ataque abaixo.

Como ativar a mitigação total contra Zombieload / MDS em Macs Intel

Lembre-se, para ativar a fitigação completa para MDS / Zombieload em um Mac, você deve desativar o hyper-threading da CPU, resultando em um sério impacto no desempenho. A grande maioria dos usuários de Mac não deve se preocupar com isso.

Observe que o Mac deve estar executando MacOS Mojave, macSO Sierra, MacOS High Sierra ou mais recente.

1. Primeiro, instale o MacOS Mojave 10.14.5 ou a Atualização de segurança 2019 para High Sierra ou a Atualização de segurança 2019 para Sierra (ou posterior) no Mac
2. Vá para o menu  Apple e escolha “Reiniciar” para reiniciar o Mac
3. Pressione Command+R imediatamente ao reiniciar para inicializar o Mac no modo de recuperação
4. Quando chegar à tela Utilitários, abra o menu “Utilitários” na barra de menu e escolha “Terminal”
5. Digite o seguinte comando e pressione Enter
"

nvram boot-args=cwae=2"

6. Em seguida, digite o seguinte comando e pressione Enter novamente:

nvram SMTDisable=%01

7. Vá para o menu  Apple e escolha “Reiniciar” para reiniciar o Mac

Estas instruções para mitigação total vêm diretamente da Apple.

Como reverter a mitigação completa do MDS e ativar o Hyper-Threading no Mac

Se você deseja reverter a mitigação total de Zombieload / MDS e reativar o hyper-threading na CPU, será necessário redefinir o Mac NVRAM / PRAM para limpar a alteração de nvram definida feita no mitigação total. Isso é o mesmo em todos os modelos de Mac:

• Desligue o Mac
• Ligue o Mac e imediatamente pressione e segure as teclas COMMAND OPTION P R juntas
• Segure as teclas COMMAND OPTION P R simultaneamente por cerca de 20 segundos e solte
• Solte as teclas após ouvir o segundo toque de inicialização (em Macs que reproduzem o som de inicialização) ou após ver o logotipo da Apple (Macs com o chip T2)

O Mac agora inicializará normalmente com a redefinição da NVRAM, o hyper-threading ativado novamente e a mitigação total do MDS não mais em vigor.

Você também pode visualizar as variáveis ​​NVRAM em um Mac a partir da linha de comando se não tiver certeza do que está definido.

Observe que, se você usar uma senha de firmware, pode ser necessário desativá-la temporariamente antes de poder redefinir a NVRAM com eficiência.

O que é MDS / Zombieload afinal?

Para obter mais informações sobre MDS / Zombieload, bem como o processo de mitigação, consulte o artigo de suporte da Apple, que descreve o risco de MDS e a mitigação completa da seguinte forma:

Além disso, habilitar a mitigação total envolve desabilitar o hyper-threading na CPU Intel, o que pode reduzir drasticamente o desempenho. A Apple descreve isso da seguinte forma:

Você também pode estar interessado em ler mais sobre Microarchitectural Data Sampling (MDS) diretamente da Intel aqui em Intel.com.

Outra fonte de informação sobre o Zombieload / MDS é o site oficial de divulgação do Zombieload Attack aqui, criado pelos pesquisadores que encontraram a vulnerabilidade de segurança. O vídeo abaixo desses pesquisadores de segurança demonstra um ataque Zombieload sendo usado para coletar informações de uma máquina visada, apesar de usar o TOR contido em uma máquina virtual (um problema sério de segurança!).

Novamente, a maioria dos usuários de Mac (e PC) não precisará se preocupar demais com essas vulnerabilidades de segurança e provavelmente não precisará se preocupar com a mitigação total desativando o hyper-threading. Basta instalar o macOS Mojave 10.14.5 e a atualização de segurança 2019-003 relevante para High Sierra e/ou Sierra para evitar riscos potenciais para a maioria dos usuários de Mac. E, como sempre, certifique-se de nunca instalar nenhum software incompleto ou não confiável, pois isso também deve ajudar consideravelmente, já que quase todos esses tipos de vulnerabilidades dependem de algum tipo de malware para se enraizar.