Lo que necesitas saber sobre Spectre y Meltdown

Se habla estos días de un fallo de seguridad masivo que afecta a las CPUs de Intel y que está poniendo en jaque a toda la industria. Parece ser que el fallo, que en realidad podría tener más de diez años, está obligando a modificar algunos sistemas operativos -Windows, MacOS y Linux, a nivel de kernel. Una modificación que además está generando una caída del rendimiento de los procesadores afectados

La vulnerabilidad está relacionada con la habilidad de los programas para determinar el contenido de la memoria kernel protegida (es decir, áreas reservadas solo para el sistema operativo), que podría contener contraseñas, claves de cifrado y correos electrónicos, por ejemplo.

Si bien los detalles parecen estar bajo embargo por el momento, la solución es separar por completo la memoria del núcleo de esos procesos ordinarios, que es lo que está impactando en el rendimiento.

También puedes leer... Los cinco grandes mitos de las Brechas de Seguridad Consideraciones para la creación de un SOC Cómo utilizar la Dark Web para la inteligenciad de amenazas

El fallo afecta aparentemente a todas las arquitecturas de CPU contemporáneas que implementan memoria virtual. Explican los investigadores que los chips de Intel cuentan con un mecanismo especial que permite reordenar secuencias de instrucciones para aumentar la ejecución del programa; el problema es que este mecanismo no verifica los derechos de acceso, lo que da como resultado que cualquier aplicación sea capaz de leer datos de la memoria que no deberían estar disponibles.

A partir de aquí se habla de dos ataques, Meltdown y Spectre, que pueden ejecutarse tanto en máquinas de escritorio como en portátiles, dispositivos móviles e incluso entornos cloud.

El hecho de que estas dos amenazas no sean el resultado de un programa ejecutándose en el ordenador, sino del ordenador en sí mismo es lo que les hace especiales y extremadamente peligrosos.

Meltdown

Meltdown ya ha sido bautizado como “probablemente uno de los peores errores de la CPU jamás encontrados”. Afecta principalmente a las CPU fabricadas por Intel desde 1995, con la excepción de Intel Itanium e Intel Atom, aunque ARM ha introducido contramedidas para protegerlo.

Meltdown fue descubirto por tres equipos diferentes: Jann Horn, de Google Project Zero; Werner Haas y Thomas Prescher, Cyberus Technology; y Daniel Gruss, Moritz Lipp, Stefan Mangard y Michael Schwarz, de Graz University of Technology.

Si bien Meltdown y Spectre son similares, lo que distingue a Meltdown es que pertenece a las barreras de protección entre el sistema operativo subyacente y las aplicaciones que se ejecutan en él.

Meltdown, permite a las aplicaciones del usuario robar información de la memoria del sistema operativo, así como información secreta de otros programas. Es decir que, si el ordenador tiene un procesador vulnerable y ejecuta un sistema operativo no parcheado, no es seguro trabajar con información sensible sin la posibilidad de filtrar la información.

Los investigadores que han descubierto Meltdown han reconocido que es relativamente fácil de explotar, aunque también es relativamente fácil de mitigar, ya que aunque el problema radica en la arquitectura de la CPU del dispositivo, un parches de software puede solucionar el problema.

Spectre

En cuanto a Spectre, es un ataque más complicado y peligroso que permitiría que un programa le robara los secretos a otro. También podría usarse para extraer secretos del mismo proceso en el que se está ejecutando el exploit.

El fallo fue descubierto por dos equipos de investigadores: Jann Horn, de Google Project Zero. Y Paul Kocher en colaboración con Daniel Genkin, de la University of Pennsylvania y University of Maryland; Mike Hamburg, de Rambus; Moritz Lipp, de Graz University of Technology; y Yuval Yarom, de la University of Adelaide y Data61.

En este caso además cabe mencionar que ya existe una prueba de concepto con un javaScrip que hace del navegador un vector de ataque viable para Spectre. Los investigadores también han explicado que Spectre sería un escenario de pesadilla para quienes utilizan servidores virtuales.

A diferencia de Meltdown, Spectre es mucho más difícil de mitigar porque exigiría que los desarrolladores reconstruyeran sus aplicaciones, lo que es extremadamente complicado. De forma que parece que habrá que esperar un parque para el código del chipset. Spectre afecta a los procesadores Intel, AMD y ARM en equipos de escritorio, portátiles, servidores en la nube y teléfonos inteligentes.

La industria se pone en marcha

Tras conocerse la noticia Intel lanzaba un comunicado en el que aseguraba que las vulnerabilidades conocidas ayer no son fruto de un error o un fallo y que se compromete “a proporcionar la máxima seguridad a sus productos y a sus clientes, y está colaborando estrechamente con muchas otras compañías tecnológicas”, entre las que se encuentran AMD, ARM Holdings y varios suministradores de sistemas operativos, “para desarrollar un mecanismo para resolver este problema en todo el sector de forma inmediata y constructiva. Intel ha comenzado a proporcionar actualizaciones de software y firmware para minimizar estas vulnerabilidades”.

La multinacional estadounidense asegura que “al contrario de lo que afirman algunos informes, cualquier impacto en el rendimiento dependerá de la carga de trabajo que se realice y, para el usuario medio de ordenadores, no debería ser considerable y se mitigará con el tiempo”.

Red Hat también ha publicado un comunicado oficial en que asegura ser “consciente de las vulnerabilidades que afectan a los procesadores y sistemas operativos en las principales plataformas de hardware, incluidas las de la familia x86 (circuito integrado auxiliar de Intel y AMD), POWER 8, POWER 9, System z y ARM, que podrían permitir el acceso de lectura no autorizado a la memoria”.

La compañía habla de tres rutas de ataque únicas: CVE-2017-5754 (Meltdown), que se corrige con parches de kernel; CVE-2017-5753 (Spectre), que también se corrige con un parche de kernel, y CVE-2017-5715 (Spectre), que se corrige con microcódigo.

Desde All4Sec  han querido destacar las principales implicaciones de estos fallos.

. Servicios en Cloud o servicios compartidos (máquinas virtuales): Son muchos los proveedores de Cloud que proporcionan a sus clientes servicios compartidos con máquinas virtuales. En estos casos, sobre una misma máquina física se ejecutan un número determinado de máquinas virtuales y cada una de ellas puede pertenecer a clientes distintos. En este escenario, ahora es perfectamente posible que un atacante pudiera desarrollar un programa para acceder a los datos de otros clientes que se están ejecutando dentro de la misma máquina.

. Sistemas de seguridad: Los propios sistemas de seguridad podrían ser objetos de un ataque ya que tanto si hablamos de sistemas cortafuegos, detección de intrusiones, antispam, etc.. muchos de ellos al final se ejecutan sobre equipamiento con procesadores afectados por lo que, al menos teóricamente sería posible acceder a datos sensibles del kernel en estos sistemas.