Las noticias de una gran vulnerabilidad en los chips de Intel son mucho peores de lo que se temía inicialmente, y los investigadores confirmaron tres variantes que afectan a múltiples implementaciones de hardware de la CPU, denominadas «Meltdown» y «Spectre».
Ambos pueden describirse como ataques de «canal lateral» que permiten a los atacantes robar contraseñas, datos de clientes, IP y más almacenados en la memoria de los programas que se ejecutan en la máquina de la víctima.
Funcionan en PC, dispositivos móviles y en la nube; este último escenario es particularmente preocupante ya que teóricamente podría permitir que un atacante en una máquina virtual invitada robe datos de las máquinas virtuales de otros clientes en el mismo servidor público en la nube.
El problema previamente revelado se ha denominado Meltdown y se relaciona con CVE-2017-5754, un error que «funde» los límites de seguridad que normalmente se aplican a nivel de chip para permitir que las aplicaciones normales lean los contenidos de la memoria privada del kernel, según los investigadores.
Afecta a todos los procesadores Intel que implementan la «ejecución fuera de servicio»: efectivamente cada procesador desde 1995, excepto Itanium e Intel Atom antes de 2013.
También afecta ciertos núcleos de Brazo , aunque no se cree que los chips AMD se vean afectados.
Los parches están disponibles para Linux, Windows y OS X para mitigar Meltdown.
En el lado del proveedor de la nube, aquellos que usan CPU Intel y XenPV como virtualización se ven afectados, así como aquellos que dependen de contenedores que comparten un kernel, como Docker, LXC y OpenVZ. Los parches están llegando o ya están aquí desde Microsoft, Google, Amazon y otros.
Spectre es posiblemente la más peligrosa de las dos amenazas, ya que es más difícil de mitigar, aunque también se ha descrito como más difícil de explotar.
Se relaciona con la falla de comprobación de límites CVE-2017-5753 y la falla de inyección de destino de rama CVE-2017-5715 y afecta a los chips Intel, Arm y AMD en «casi todos los sistemas» en el espacio de escritorio, laptop, servidor en la nube y teléfonos inteligentes.
Los investigadores explicaron Specter and Meltdown de la siguiente manera:
«Meltdown rompe el mecanismo que evita que las aplicaciones accedan a la memoria arbitraria del sistema. En consecuencia, las aplicaciones pueden acceder a la memoria del sistema. Spectre engaña a otras aplicaciones para acceder a ubicaciones arbitrarias en su memoria.
«Specter rompe el aislamiento entre diferentes aplicaciones. Permite a un atacante engañar a los programas sin errores, que siguen las mejores prácticas, para filtrar sus secretos. De hecho, los controles de seguridad de dichas mejores prácticas en realidad aumentan la superficie de ataque y pueden hacer que las aplicaciones sean más susceptibles a Spectre «.
Actualmente no se conocen soluciones efectivas para Spectre, aunque se está trabajando para «aplicar un parche de software después de la explotación a través de Spectre».
De hecho, el US-CERT afirmó que la única forma de solucionar los problemas con seguridad es reemplazar el hardware de la CPU por completo, lo que no es una opción en este momento hasta que se diseñen chips más seguros.
También existe la preocupación de que los parches que se están desarrollando puedan hacer que los sistemas se vuelvan más lentos, aunque muchos administradores pueden no tener opciones en el asunto.
Los investigadores afirmaron que, a diferencia del malware normal, Meltdown y Spectre son difíciles de distinguir de las aplicaciones regulares, por lo que es poco probable que sean detectadas por las herramientas AV.
«Sin embargo, su antivirus puede detectar malware que usa los ataques comparando los binarios una vez que se conocen», agregaron.
Las firmas afectadas, incluidos los proveedores de chips, navegadores, sistemas operativos y de la nube, estaban trabajando entre bastidores para solucionar los problemas antes de que las noticias se rompieran en un informe de los medios a principios de esta semana. Eso parece haber acelerado los planes de parcheo.
El Centro Nacional de Seguridad Cibernética (NCSC, por sus siglas en inglés ) afirmó en una declaración que no había visto «evidencia de ninguna explotación maliciosa» y aconsejó a los usuarios y administradores de TI que instalen parches tan pronto como estén disponibles.
Fuente: infosecurity-magazine.com
