Se ha revelado recientemente una nueva vulnerabilidad de Intel que permite a los atacantes robar datos mientras los procesos se ejecutan en la mayoría de las máquinas que usan chips Intel. La falla afecta a casi todos los procesadores de la marca lanzados en la última década y es especialmente peligrosa en entornos multiusuario como servidores virtualizados en centros de datos.
Intel lo llama muestreo de datos de microarquitectura, pero la falla se conoce más comúnmente como “ZombieLoad”, y las variantes descubiertas por los investigadores incluyen Fallout y RIDL.
Según el portavoz de Intel, Leigh Rosenwald, el problema ya se aborda a nivel de hardware en muchos procesadores Intel Core de octava generación y novena generación recientes, así como en la familia de procesadores escalables Intel Xeon de segunda generación.
"Para otros productos afectados, la mitigación está disponible a través de las actualizaciones de microcódigo, junto con las actualizaciones correspondientes al sistema operativo y al software del hipervisor", continúa.
Ha recomendado además que los administradores de seguridad de los centros de datos verifiquen la página de buceo profundo de Intel para obtener más información.
Según Rosenwald, esta es una vulnerabilidad de gravedad baja a media. "La explotación de estas vulnerabilidades fuera del entorno de laboratorio es extremadamente compleja en relación con otros métodos que los atacantes tienen a su disposición", dijo. "Y es importante tener en cuenta que no hay informes de explotaciones en el mundo real de estas vulnerabilidades".
La falla permite que el malware en un PC espíe otras aplicaciones en la misma máquina para, por ejemplo, robar contraseñas. El malware aún tendría que instalarse primero utilizando algún otro método, como un ataque de suplantación de identidad (phishing) o una descarga directa.
Sin embargo, en un centro de datos, una máquina virtual podría espiar lo que está sucediendo en otra máquina virtual en el mismo servidor sin tener que instalar el malware en esa segunda máquina virtual. Eso es especialmente preocupante para los entornos de nube, ya que un usuario podría instalar el exploit en su propia máquina virtual en la nube para espiar a otros usuarios.
Asegurando su centro de datos de ZombieLoad
Intel ya ha lanzado un parche, pero los sistemas operativos, los hipervisores y las aplicaciones individuales también deben ser parcheados, especialmente en entornos multiusuario, donde no se conoce el estado de parches de otras partes del sistema, o si algunos de ellos no se conocen. Los parches no pueden aplicarse inmediatamente por alguna razón.
Un portavoz de Intel ha dicho a TechCrunch que los sistemas de los centros de datos podrían tener un impacto en el rendimiento de hasta el 9 por ciento una vez que se aplique un parche para la vulnerabilidad.
Apple, Google y Microsoft ya han lanzado parches
¿Qué tan rápido deben los administradores de seguridad del centro de datos instalar los parches?
Depende de las otras defensas que ya existen para mitigar los ataques de canales laterales, dijo Tom Hickman, vicepresidente de ingeniería de Edgewise Networks, un proveedor de seguridad con sede en Burlington, Massachusetts.
Puede llevar días, meses o incluso años para que los atacantes desarrollen exploits de trabajo para vulnerabilidades, dijo. "En este caso, es un ataque bastante sofisticado, y creo que habría una pista bastante larga. Por lo tanto se podría pensar que tendríamos algo de tiempo".
El analista de Enterprise Strategy Group, Jon Oltsik, está de acuerdo en que los ataques ZombieLoad pueden ser difíciles de lanzar para los atacantes fuera de un entorno de laboratorio.
"Las organizaciones deberían estar bien", dijo. "Pero las mejores prácticas de seguridad sugieren que las organizaciones deberían tomar medidas proactivas para mitigar este riesgo. También pueden desactivar el micro-threading, ya que esto cierra la vulnerabilidad por completo", dijo.
En los centros de datos empresariales, los gerentes deben revisar las bases de datos de administración de activos para determinar qué activos son vulnerables, dijo. Después, pueden instalar parches de microcódigo e hipervisor.
Los operadores de centros de datos que proporcionan la informática como un servicio deben asegurarse de que la información sobre sus activos vulnerables no se filtre, ya que cualquier persona que use una infraestructura compartida podría estar expuesta, dijo Satya Gupta, fundadora y CTO de Virsec Systems.
En algunos entornos, podría ser difícil o costoso cerrar los servidores para hacer las actualizaciones, dijo. "En la nube no es tan fácil ir y hacer un reinicio. Muchas cargas de trabajo críticas podrían estar operando en la infraestructura compartida".
Como mitigación adicional, los desarrolladores de aplicaciones podrían asegurarse de que los búferes se borran, aunque esto tiene el potencial de ralentizar las operaciones.
"Si tiene dos programas, uno de confianza y otro que no lo es, entonces cada vez que se cambie de programa, debe eliminar los estados internos", dijo Gupta. "Hay una actualización de microcódigo que Intel ha proporcionado".
Los investigadores revelaron el problema ayer y también publicaron un código de prueba de concepto. Eso significa que los atacantes que no habían descubierto la vulnerabilidad a través de su propia investigación ahora lo saben y están trabajando en el desarrollo de exploits.
Los investigadores que expusieron la falla de diseño de Intel vinieron de la Universidad de Tecnología de Graz, Vrije Universiteit Amsterdam, la Universidad de Michigan, la Universidad de Adelaida, KU Leuven en Bélgica, el Instituto Politécnico de Worcester, la Universidad de Saarland en Alemania y las firmas de seguridad Cyberus, BitDefender. , Qihoo360, y Oracle.
Vrije Universiteit Amsterdam ha lanzado una herramienta para verificar si su sistema es vulnerable.
ZombieLoad es similar a los ataques Meltdown, Specter y Foreshadow del año pasado, dijo Jethro Beekman, director técnico de Fortanix, un proveedor de seguridad con sede en Mountain View, California.
"Probablemente este no sea el último que veamos de vulnerabilidades como esta", dijo. "En la carrera por crear procesadores cada vez más rápidos, los fabricantes de CPU han agregado muchas optimizaciones de rendimiento en su hardware. Estas optimizaciones se están explotando ahora, porque a veces pueden filtrar datos confidenciales a través de los límites de aislamiento".
Los operadores de centros de datos deben trabajar con sus proveedores para asegurarse de que haya un proceso implementado para implementar rápidamente las actualizaciones de software y firmware, dijo.
"Este ha sido tradicionalmente un proceso largo", dijo. "Una forma de hacerlo más rápido es que las organizaciones apliquen presión sobre estos proveedores para que sean más rápidos.