Cómo proteger su PC de las fallas de Intel Foreshadow
Foreshadow, también conocido como L1 Terminal Fault, es otro problema con la ejecución especulativa en los procesadores de Intel. Permite que el software malintencionado penetre en áreas seguras que incluso las fallas de Specter y Meltdown no pudieron resolver..
¿Qué es Foreshadow??
Específicamente, Foreshadow ataca la característica de Intel Software Extensions (SGX). Esto está integrado en los chips Intel para permitir que los programas creen "enclaves" seguros a los que no se puede acceder, incluso con otros programas en la computadora. Incluso si el malware estuviera en la computadora, no podría acceder al enclave seguro en teoría. Cuando se anunciaron Specter y Meltdown, los investigadores de seguridad encontraron que la memoria protegida con SGX era mayormente inmune a los ataques de Specter y Meltdown.
También hay dos ataques relacionados, que los investigadores de seguridad llaman "Foreshadow - Next Generation" o Foreshadow-NG. Estos permiten el acceso a la información en el Modo de administración del sistema (SMM), el kernel del sistema operativo o un hipervisor de máquina virtual. En teoría, el código que se ejecuta en una máquina virtual en un sistema podría leer la información almacenada en otra máquina virtual en el sistema, aunque se supone que esas máquinas virtuales están completamente aisladas.
Foreshadow y Foreshadow-NG, como Specter y Meltdown, utilizan fallas en la ejecución especulativa. Los procesadores modernos adivinan el código que creen que podría ejecutarse a continuación y lo ejecutan preventivamente para ahorrar tiempo. Si un programa intenta ejecutar el código, excelente, ya se ha hecho y el procesador conoce los resultados. Si no, el procesador puede tirar los resultados..
Sin embargo, esta ejecución especulativa deja atrás alguna información. Por ejemplo, según el tiempo que tarda un proceso de ejecución especulativa en realizar ciertos tipos de solicitudes, los programas pueden inferir qué datos se encuentran en un área de la memoria, incluso si no pueden acceder a esa área de la memoria. Debido a que los programas malintencionados pueden usar estas técnicas para leer la memoria protegida, incluso podrían acceder a los datos almacenados en el caché L1. Esta es la memoria de bajo nivel en la CPU donde se almacenan las claves criptográficas seguras. Es por eso que estos ataques también se conocen como "Falla de terminal L1" o L1TF.
Para aprovechar Foreshadow, el atacante solo necesita poder ejecutar código en su computadora. El código no requiere permisos especiales; podría ser un programa de usuario estándar sin acceso al sistema de bajo nivel o incluso software que se ejecuta dentro de una máquina virtual.
Desde el anuncio de Spectre y Meltdown, hemos visto un flujo constante de ataques que abusan de la funcionalidad de ejecución especulativa. Por ejemplo, el bypass de tienda especulativa (SSB) afectó a los procesadores de Intel y AMD, así como a algunos procesadores ARM. Fue anunciado en mayo de 2018..
¿Se está usando Foreshadow en la naturaleza??
Foreshadow fue descubierto por investigadores de seguridad. Estos investigadores tienen una prueba de concepto, en otras palabras, un ataque funcional, pero no lo están lanzando en este momento. Esto le da a todos tiempo para crear, lanzar y aplicar parches para protegerse contra el ataque.
Cómo puedes proteger tu PC
Tenga en cuenta que solo las PC con chips de Intel son vulnerables a Foreshadow en primer lugar. Los chips de AMD no son vulnerables a esta falla.
La mayoría de las PC con Windows solo necesitan actualizaciones del sistema operativo para protegerse de Foreshadow, según el aviso de seguridad oficial de Microsoft. Simplemente ejecute Windows Update para instalar los últimos parches. Microsoft dice que no ha notado ninguna pérdida de rendimiento al instalar estos parches.
Algunas PC también pueden necesitar un nuevo microcódigo de Intel para protegerse. Intel dice que estas son las mismas actualizaciones de microcódigo que se lanzaron a principios de este año. Puede obtener un nuevo firmware, si está disponible para su PC, al instalar las últimas actualizaciones de UEFI o BIOS de su PC o fabricante de la placa base. También puede instalar actualizaciones de microcódigo directamente desde Microsoft.
Lo que los administradores de sistemas necesitan saber
Las PC que ejecuten software de hipervisor para máquinas virtuales (por ejemplo, Hyper-V) también necesitarán actualizaciones de ese software de hipervisor. Por ejemplo, además de una actualización de Microsoft para Hyper-V, VMWare ha lanzado una actualización para su software de máquina virtual.
Los sistemas que utilizan Hyper-V o la seguridad basada en la virtualización pueden necesitar cambios más drásticos. Esto incluye la desactivación de hyper-threading, que ralentizará la computadora. La mayoría de la gente no tendrá que hacer esto, pero los administradores de Windows Server que ejecutan Hyper-V en las CPU de Intel deberán considerar seriamente la posibilidad de deshabilitar el subproceso en la BIOS del sistema para mantener a salvo sus máquinas virtuales.
Los proveedores de nube como Microsoft Azure y Amazon Web Services también están parcheando sus sistemas para proteger las máquinas virtuales en sistemas compartidos contra ataques.
Los parches también pueden ser necesarios para otros sistemas operativos. Por ejemplo, Ubuntu ha lanzado actualizaciones del kernel de Linux para protegerse contra estos ataques. Apple aún no ha comentado sobre este ataque..
Específicamente, los números CVE que identifican estas fallas son CVE-2018-3615 para el ataque a Intel SGX, CVE-2018-3620 para el ataque al sistema operativo y el Modo de administración del sistema, y CVE-2018-3646 para el ataque a la administrador de máquina virtual.
En una publicación del blog, Intel dijo que está trabajando en mejores soluciones para mejorar el rendimiento al tiempo que bloquea los ataques basados en L1TF. Esta solución aplicará la protección solo cuando sea necesario, mejorando el rendimiento. Intel dice que ya ha proporcionado microcódigo de CPU de versión preliminar con esta función a algunos socios y está evaluando su lanzamiento..
Finalmente, Intel señala que "L1TF también se resuelve con los cambios que estamos realizando a nivel de hardware". En otras palabras, las futuras CPU de Intel contendrán mejoras de hardware para proteger mejor contra Specter, Meltdown, Foreshadow y otros ataques especulativos basados en la ejecución menos pérdida de rendimiento.
Crédito de la imagen: Robson90 / Shutterstock.com, Foreshadow.