Enter your text here

Enter your text here

Las vulnerabilidades en los procesadores modernos, los exploits Meltdown y Spectre, y los parches KAISER o KPTI

Las vulnerabilidades masivas de seguridad en las CPU modernas están forzando un rediseño del software del núcleo (o kernel en inglés), que es la parte que se ejecuta en el modo privilegiado (o en el modo núcleo) en el centro de todos los principales sistemas operativos. Ya que los problemas — llamados Meltdown y Spectre — existen en el hardware de la CPU, Windows, Linux, Android, macOS, iOS, Chromebooks y otros sistemas operativos están afectados y necesitan protegerse de esta vulnerabilidad.

 

Estas vulnerabilidades se relacionan con una de las capacidades principales de las CPU modernas, que se conoce como ejecución especulativa: ésta es una técnica que incrementa el desempeño. Una forma de incrementar el rendimiento es permitir que el núcleo realice cálculos que tal vez necesite en el futuro. La diferencia entre la ejecución especulativa y la “ejecución” es que la CPU realiza estos cálculos antes de saber si es que realmente va a poder usar los resultados. Por lo tanto, según Google, se ha descubierto que el momento de ejecución de la memoria caché de las CPU puede ser abusado para robar la información eficientemente a partir de una ejecución mal especulada, lo que a su vez conlleva a las vulnerabilidades en la lectura de la memoria virtual arbitraria, que atraviesa los límites de seguridad locales en varios contextos.

 

Meltdown y Spectre explotan estas vulnerabilidades críticas en los procesadores modernos. Estas vulnerabilidades de hardware permiten que los programas se roben la información que se esté procesando en la computadora. Mientras los programas a nivel de usuario, por lo general, no pueden leer la información de los programas a nivel del núcleo, un programa malicioso puede explotar Meltdown y Spectre para obtener esta información confidencial almacenada en la memoria de otros programas que estén en ejecución. Esto podría incluir sus contraseñas almacenadas en un administrador de contraseñas, sus fotos personales, sus correos eléctricos, sus mensajes instantáneos, y hasta sus documentos críticos de negocios. Meltdown y Spectre afectan las computadoras personales, los dispositivos móviles, y la nube.

 

Meltdown es el exploit más serio, y el que los sistemas operativos están tratando de arreglar lo más pronto posible. “Rompe el aislamiento más fundamental entre las aplicaciones de los usuarios y el sistema operativo”, según Google. Esta falla afecta, sobre todo, los procesadores Intel, debido a la manera agresiva en que manejan la ejecución especulativa, aunque algunos núcleos ARM también son susceptibles. Spectre afecta los procesadores AMD y ARM, así como las CPU Intel, lo que quiere decir que los dispositivos móviles también están en riesgo. Es posible que no exista una solución de hardware para Spectre, que “engaña a las otras aplicaciones para que accedan a ubicaciones arbitrarias en su memoria”. Se necesita endurecer el software para protegerse de esto.

 

Por lo tanto, se ha lanzado un parche para esta vulnerabilidad. Debido a la naturaleza de nivel bajo de estas vulnerabilidades, arreglar las mismas no es fácil. Meltdown requiere cambios considerables en la manera en que el sistema operativo provee aislamiento de la memoria. Afortunadamente, un diseño efectivo se publicó previamente por un equipo que incluía algunos de los investigadores que descubrieron Meltdown. Este diseño, llamado KAISER, (del inglés “kernel address isolation to have side-channels efficiently removed” – aislamiento de la dirección del núcleo para retirar los canales laterales eficientemente) fue creado para la protección en contra de los ciberataques que usan el hardware para burlar la aleatoriedad de la dirección del núcleo (KASLR, del inglés kernel address randomization), pero, por casualidad, también protege en contra de Meltdown. Todos los proveedores relevantes de los sistemas operativos afectados también están lanzando sus propias versiones de KAISER. La implementación de Linux, llamada KPTI, (del inglés Kernel Page Table Isolation – aislamiento de las tablas de las páginas del núcleo), comenzó una ola de rumores que forzó una divulgación más temprana de lo planeado de Meltdown y Spectre. Los parches ya están disponibles para varios sistemas operativos, incluyendo Windows.

 

Lamentablemente, la ejecución del parche para estas vulnerabilidades del hardware puede tener como efecto secundario la ralentización del sistema operativo y pueden afectar su estabilidad y su rendimiento. Por lo tanto, Microsoft aconseja que sus clientes se comuniquen con su proveedor de seguridad antes de aplicar el parche, quien debe asegurarse de realizar lo siguiente:

 

 

Confirmar si el software de seguridad del cliente es compatible con la actualización de Windows, y, si es así:

Distribuir una versión actualizada del software del proveedor de seguridad que establezca una clave de registro específica que habilite la actualización de Windows.

 

Sophos ha completado las pruebas de actualización de Windows y puede confirmar la compatibilidad. A partir del 5 de enero de 2018, ya se comenzó a agregar automáticamente la configuración de la clave de registro a los productos de seguridad de la información de Sophos.

 

Los clientes de Sophos Endpoint que deseen aplicar el parche, pueden establecer la clave de registro manualmente como se describe en el artículo de Microsoft: ADV180002. También pueden descargar y aplicar manualmente el parche sin la clave de registro.

 

Los productos de Network Security de Sophos: Sophos se encuentra validando las actualizaciones del kernel para Linux y los otros sistemas operativos, que son la base del firmware para sus productos de seguridad en la red. Sophos pondrá a disposición de sus clientes las correcciones necesarias (firmware actualizado o imágenes equivalentes, etc.) a las últimas versiones de sus productos de seguridad en la red.

 

Sophos recomienda que, si está ejecutando una versión anterior de SFOS, SG o CROS, actualícese a la última versión de SFOS. Para todos los productos de seguridad en la red de Sophos, aplique las últimas versiones de mantenimiento para recibir el parche cuando éste se publique.

 

Por su parte, AlienVault está trabajando en conjunto con sus mejores proveedores, tales como Los Servicios Web de Amazon (AWS, Amazon Web Services), para asegurarse de que todos sus sistemas estén parchados y que estas vulnerabilidades sean mitigadas lo más pronto posible. Conforme se hacen disponibles los parches, son puestos a prueba de inmediato, y se aplican en seguida según sea apropiado.

 

¿Cómo pueden los clientes que usan AlienVault monitorear las amenazas relacionadas con Meltdown y Spectre? Como partner de AlienVault, nuestros clientes tienen acceso a AlienVault USM, que ayuda a identificar los sistemas en su red que no han sido parchados, y los sistemas que podrían explotarse usando varios vectores de ataque. El Equipo de Investigación de Seguridad de AlienVault Labs ha publicado una actualización de la inteligencia de las amenazas, que incluye lo siguiente:

 

USM Anywhere y USM Appliance: están diseñados explícitamente para ayudar a sus usuarios a identificar este tipo de vulnerabilidades y de amenazas. A lo que estas vulnerabilidades y sus exploits relacionados evolucionan, USM Anywhere se actualizará para soportarlos. Se han realizado nuevas firmas de las vulnerabilidades para identificar los sistemas vulnerables a Meltdown y Spectre, y se han realizado nuevas firmas de la red IDS para detectar los exploits Meltdown y Spectre. Además, los usuarios se pueden conectar al OTX de AlienVault para acceder a la información nueva acerca de Meltdown y Spectre, compartida por los más de 66,000 usuarios.

 

 

https://community.sophos.com/kb/en-us/128053.

https://www.tripwire.com/state-of-security/vert/spectre-meltdown-what-you-know/

https://www.pcworld.com/article/3245606/security/intel-x86-cpu-kernel-bug-faq-how-it-affects-pc-mac.html

https://meltdownattack.com/

https://www.extremetech.com/computing/261439-spectre-meltdown-new-critical-security-flaws-explored-explained