Alerta de seguridad: SPECTRE / MELTDOWN

Alerta de seguridad: SPECTRE / MELTDOWN

Tomado de: Blog B-Secure.

En días pasados salieron a la luz dos nuevas vulnerabilidades críticas que pueden ser explotadas a nivel de hardware de procesadores modernos (Intel, AMD y ARM). Estas vulnerabilidades funcionan en múltiples sistemas operativos, incluidos Microsoft Windows, Linux y Apple Mac OS, y son conocidas como Meltdown y Spectre. Estos errores en el hardware permiten obtener datos que estén siendo procesados en la CPU, específicamente aquellos guardados en la memoria de otros programas en ejecución y que pueden incluir:

  • Contraseñas almacenadas en un administrador de contraseñas o un navegador.
  • Fotos.
  • Correos electrónicos.
  • Mensajes instantáneos.
  • Documentos críticos para el negocio.

El impacto potencial es de gran alcance: los equipos de escritorio, portátiles y teléfonos inteligentes que se ejecutan en procesadores vulnerables pueden estar expuestos al acceso no autorizado y al robo de información. La computación en la nube, los entornos virtuales, los servidores multiusuario -también utilizados en centros de datos y entornos empresariales- que ejecutan estos procesadores también se ven afectados.

Detalles de las vulnerabilidades:

Los procesadores modernos están diseñados para realizar ‘ejecución especulativa’. Esto significa que pueden ‘intuir’ las funciones que se espera que se ejecuten, y al ponerlas en cola de antemano, pueden procesar datos de manera más eficiente y ejecutar aplicaciones más rápido. Es una técnica de la industria de los procesadores utilizada para optimizar su rendimiento. Sin embargo, esto permite el acceso a datos normalmente aislados.

Meltdown, designado como CVE-2017-5754, puede permitir a los piratas informáticos obtener acceso privilegiado a partes de la memoria de una computadora utilizada por una aplicación y el sistema operativo, afectando a los procesadores Intel. Las CPU vulnerables permiten lecturas de memoria en la ejecución de instrucción fuera de orden. El ataque lee un valor de memoria del kernel, no obstante, las instrucciones fuera de orden, después de la instrucción de fallas, también pueden ejecutarse utilizando los datos recuperados de la instrucción que genera la excepción.

Spectre, designado como CVE-2017-5753 y CVE-2017-5715, puede permitir a los atacantes robar información filtrada en los archivos kernel / caché o datos almacenados en la memoria de programas en ejecución, como credenciales (contraseñas, claves de acceso, etc.). También, puede permitir que una parte de una aplicación acceda a otras partes del mismo espacio de memoria de proceso que, de otro modo, no estaría permitido. Específicamente, Spectre afecta a procesadores de Intel, Advanced Micro Devices (AMD) y Advanced RISC Machine (ARM).Spectre

Recomendaciones de Seguridad B-Secure:

Hasta el momento solo existen pequeñas actualizaciones para la mitigación de estos ataques, las cuales incluyen:

  • Mantener el sistema operativo actualizado.

Microsoft emitió un boletín de seguridad y asesoramiento antes de su ciclo de parche mensual para abordar estas vulnerabilidades en Windows 10. Las actualizaciones para Windows 7 y 8 se implementarán en el parche de enero el martes 9 de enero. Adicionalmente, ha implementado un nuevo requisito para una Llave del Registro, que debe instalarse para habilitar las actualizaciones automáticas de Windows. La idea es garantizar que el software de seguridad de punto final instalado sea compatible con los parches.

Para que los usuarios instalen la llave, Trend Micro recomienda algunas opciones:

  • Los administradores de TI / sistema pueden crear e implementar manualmente la clave de registro (ALLOW REGKEY) para desbloquear la entrega de parches.
  • Los clientes y usuarios de Trend Micro pueden descargar los paquetes de actualización directamente desde el Catálogo de actualizaciones de Windows, si no están disponibles a través de la Actualización de Windows.
  • Aplicar una actualización para el producto de seguridad de Trend Micro que habilitará ALLOW REGKEY necesario, a través de Windows Update.

Se ha hablado mucho sobre el éxito del rendimiento cuando se quita la capacidad de leer información con anticipación. No se preocupe, la mayoría de los PC y VM no verán mucha degradación. Esto es lo que necesita saber en función de su entorno:

  • Sistemas basados en la nube: probablemente verá un ligero alargamiento en el tiempo de respuesta. Mientras que los procesadores se ejecutarán más lentamente, ellos (y la memoria local y el disco) están del otro lado de Internet.
  • Procesamiento local para cargas de trabajo intensivas en cómputo: es posible que vea un impacto más significativo. Los procesos pesados y el análisis de big data se benefician más de esta función de procesamiento. Sin él, ejecutar estos procesos tomará más tiempo.
  • Usuarios domésticos: la mayoría de los consumidores no notarán el cambio. Si juega mucho o usa componentes pesados de gráficos, entonces se aplican las mismas reglas que para las organizaciones.

Google ha publicado mitigaciones sobre la infraestructura / productos que pueden verse afectados (YouTube, Google Ads, Chrome, etc.). También lanzó un nivel de parche de seguridad (SPL) para Android, que cubre actualizaciones que pueden limitar aún más los ataques Meltdown y Spectre. El 5 de enero se lanzará una actualización de seguridad separada para Android. Es importante tener en cuenta que el parcheo en Android está fragmentado, por lo que los usuarios deben notificar a sus OEMs su disponibilidad. Los dispositivos Nexus y Pixel pueden descargar automáticamente la actualización.

Se informó que los Mac OS de Apple se corrigieron en la versión 10.13.2, y que los kernels ARM de 64 bits también se actualizaron. VMWare también emitió su propio aviso. Mozilla, cuyo equipo confirmó que los ataques basados en navegador pueden ser posibles, abordó las vulnerabilidades con Firefox 57.

Finalmente, proveedores como Fortinet indican que no poseen afectación en sus dispositivos. Sin embargo, Fortiguard aún se encuentran evaluando los riesgos para sus productos.

X