Archivos de etiquetas: Intel

Chips Intel afectados por nuevo ataque “PortSmash”

Investigadores finlandeses y cubanos han descubierto en conjunto un exploit que utiliza una característica de los chips Intel, la cual permite robar llaves criptográficas secretas.
Esta característica es conocida como ataque de canal lateral (side channel attack), mediante la cual un proceso espía a otro mientras se ejecuta.
El ataque se vale de una característica llamada Simultaneous Multi Threading (SMT), la cual permite que dos programas se ejecuten paralelamente en un sólo núcleo de CPU. Aunque este concepto se encuentra presente desde finales de los años ’60, este ataque se enfoca en la versión desarrollada por Intel, Hyper-Threading, la cual comenzó a ser incorporada en sus procesadores en el año 2002.
El ataque side channel no revisa al proceso víctima directamente. En vez de eso, un hilo (el de ataque) busca por pistas que puedan revelar lo que el otro hilo (la víctima) está realizando, y trabaja secretamente desde ahi. Puede utilizar diversas señales, incluyendo el tiempo de las instrucciones. El ataque PortSmash utiliza el tiempo de las instrucciones basado en los contenidos del puerto.
Cada núcleo físico tiene un número de puertos, los cuales sn las regiones en el chip que realizan el proceso físico. Cuando dos hilos están corriendo en un chip ellos a menudo deben esperar a que el otro utilice estos puertos primero.
PortSmash explota esta situación. Su hilo de ataque toma un puerto repetitivamente con instrucciones inservibles a menos que el controlador de la CPU detiene su ejecución y le pasa ese puerto a otras instrucciones para su ejecución, entonces mide el tiempo que el otro hilo toma para procesar sus propias instrucciones. Esto puede ayudar a inferir los secretos de un programa a través del tiempo.
La Prueba De Concepto muestra como robar la llave privada de OpenSSL desde un servidor TLS. Ese es sólo un ejemplo de lo que el ataque puede realizar, y de que el código puede ser reconfigurado fácilmente para también robar otra información.
Para mitigar este riesgo, se debe deshabilitar el SMT mencionado al comienzo de este artículo. Muchos equipos no permiten realizar esto desde la configuración de la BIOS, por lo cual OpenBSD ya ha programado la deshabilitación de su soporte de SMT. Esto apareció días después de la divulgación de otra falencia en el side channel llamada TLSBleed, donde investigadores holandeses extrajeron llaves criptográficas desde hilos víctima en chips Intel.
Este ataque es distinto a SPECTRE y MELTDOWN, ya que estos utilizan la ejecución especulativa para robar los datos. Aún no está claro en como afecta esto a los procesadores AMD.
Impacto
Si usted es un usuario de un PC portátil o de escritorio, el cual utiliza para labores rutinarias como juegos, navegación en internet, trabajo de oficina, etc. El impacto no es tan grande. Este ataque involucra ejecutar código en su máquina, y si el atacante consigue realizar esto entonces ahí recién empieza el problema, dado que puede utilizar su propio código para llegar a su información de forma mas fácil.
Pero el peligro real de esto es para aquellos que ejecutan una gran cantidad de carga de transacciones de diferentes clientes en la misma máquina. Entornos en la nube que utilizan tenencia múltiple podrían ser un objetivo clave en esto. De cualquier forma, el atacante aún debe lograr que su código se ejecute en el mismo núcleo físico que el programa al cual quiere espiar.
Intel ha comunicado que es responsabilidad de los desarrolladores la creación de código más seguro para detener a las personas que abusan de esta característica.

El antiguo oficial de seguridad para el Sistema Operativo FreeBSD, en twitter profundizó acerca de esto, explicando que este concepto es conocido por años, y que las buenas prácticas de código son cruciales
OpenSSL ya emitió un parche para este problema mientras Intel retiró el Hyper.Threading de sus procesadores i7 9700k.

Foreshadow, nueva vulnerabilidad para CPUs de Intel

Para Intel, y para más del mil millones de ordenadores que dependen de sus procesadores, no dejan de surgir vulnerabilidades.
Esta vez, la propia empresa informó de una debilidad llamada Foreshadow/Foreshadow-NG en una tecnología de seguridad llamada Software Guard Extensions (SGX) que se encuentra en sus CPUs desde 2015.
Intel dijo que dos equipos informaron de Foreshadow por primera vez en enero de 2018, vulnerabilidad a la que otorgaron el código CVE-2018-3615.
Al investigar este incidente, los propios expertos de la empresa descubrieron más variantes que extendían la debilidad a los nuevos chips con SGX en máquinas virtuales o hipervisores.
Estas vulnerabilidades recibieron los códigos CVE-2018-3620 y CVE-2018-3646 respectivamente.
Intel conoció la existencia de Foreshadow solo unos días después de que le informaran de las mega-vulnerabilidades Meltdown y Spectre.
Desde entonces, han surgido más problemas en sus CPUs, como informes sobre Spectre-NG en mayo.
¿Qué es Foreshadow?
Foreshadow es una debilidad en la ejecución especulativa del chip que podría permitir a un atacante acceder a datos cifrados que se encuentran en el enclave especial SGX.
Este enclave es una parte de la memoria del chip que está aislada y donde se pueden almacenar datos sensibles, que no pueden ser leídos por otros programas o malware.
La esencia de Foreshadow es que , en teoría, puede copiar estos datos y acceder a ellos en otro lugar.
Foreshadow-NG va un paso más allá al poder acceder a maquinas virtuales que se encuentren en la misma nube poniendo en peligro toda la infraestructura de la nube.
¿Qué CPUs están afectadas?
Si has comprado un ordenador equipado con una CPU Intel a partir de finales de 2015 es muy posible que estés afectado. Las CPUs de AMD y otros fabricantes no usan SGX por lo que no están en peligro.
Intel Core i3/i5/i7/M (45nm y 32nm)Procesadores Intel Core desde segunda a octava generaciónIntel Core X-series para las plataformas Intel X99 y X299Intel Xeon 3400/3600/5500/5600/6500/7500 seriesIntel Xeon E3 v1/v2/v3/v4/v5/v6Intel Xeon E5 v1/v2/v3/v4Intel Xeon E7 v1/v2/v3/v4Intel Xeon Scalable FamilyIntel Xeon D (1500, 2100)
¿Qué hacer?
Los sistemas que ya han aplicado las actualizaciones de Intel a comienzos de año, además de las publicadas por los sistemas operativos (estas son las instrucciones de Microsoft), ya deben estar protegidos contra Foreshadow, según Intel.
Sin embargo, para los centros de procesamiento de datos que tengan hipervisores que sean vulnerables a Foreshadow-NG no es tan sencillo, debido a las razones que Intel explicó en un vídeo.
Al igual que con Meltdown y Spectre, no hay evidencias de que nadie explotara Foreshadow, ni que fuera un objetivo obvio para un atacante ya que hay otras muchas vulnerabilidades más sencillas para sacar provecho.
De todas maneras, aunque estos fallos son teóricos por ahora, parece claro que los fabricantes de chips y sus usuarios tienen bastante trabajo por delante.
Artículo original: https://news.sophos.com/es-es/2018/08/22/todo-sobre-foreshadow-la-nueva-vulnerabilidad-de-las-cpus-de-intel/

Falla en procesadores Intel permitiría borrar la BIOS

La existencia de una vulnerabilidad en el bus SPI de algunos procesadores Intel permitiría a un usuario mal intencionado realizar un ataque de denegación de servicio (DoS) en el sistema. Ya existe parche para esto.
Los procesadores afectados son:
8th generation Intel® Core™ Processors7th generation Intel® Core™ Processors6th generation Intel® Core™ Processors5th generation Intel® Core™ ProcessorsIntel® Pentium® and Celeron® Processor N3520, N2920, and N28XXIntel® Atom™ Processor x7-Z8XXX, x5-8XXX Processor FamilyIntel® Pentium™ Processor J3710 and N37XXIntel® Celeron™ Processor J3XXXIntel® Atom™ x5-E8000 ProcessorIntel® Pentium® Processor J4205 and N4200Intel® Celeron® Processor J3455, J3355, N3350, and N3450Intel® Atom™ Processor x7-E39XX ProcessorIntel® Xeon® Scalable ProcessorsIntel® Xeon® Processor E3 v6 FamilyIntel® Xeon® Processor E3 v5 FamilyIntel® Xeon® Processor E7 v4 FamilyIntel® Xeon® Processor E7 v3 FamilyIntel® Xeon® Processor E7 v2 FamilyIntel® Xeon® Phi™ Processor x200Intel® Xeon® Processor D FamilyIntel® Atom™ Processor C Series
La vulnerabilidad tiene una calificación CVSS 3.0 de 7,9 y su CVE es CVE-2017-5703.
En resumen se trata de la configuración del controlador SPI Flash de estos procesadores que expuso de forma insegura algunos códigos que permiten ejecutar alteraciones o borrado de firmware BIOS/UEFI. El bus SPI (Serial Peripherial Interface) es el que permite la transmisión full-duplex entre dispositivos.
Fabricantes de BIOS ya han puesto a disposición parches para mitigar esta vulnerabilidad

Vulnerabilidad en todos los procesadores Intel, que hacer.

Diversos fabricantes han publicado parches e información de seguridad con la finalidad de mitigar estas vulnerabilidades, por lo que como proveedor de servicios de seguridad les hacemos llegar.
Esta semana se dio a conocer una vulnerabilidad en la arquitectura de todos los procesadores Intel, en resumen es un problema en el cual es posible acceder a sectores de memoria donde se guarda información del núcleo del Sistema Operativo.
Una falla fundamental en el diseño de los procesadores Intel está forzando el rediseño de los núcleos de Linux y Windows para evitar esta falla de seguridad a nivel de chip.
Programadores están en máxima capacidad para potenciar el núcleo de código abierto en el sistema de memoria virtual de Linux. Mientras se espera que Microsoft introduzca los cambios necesarios en sus Sistemas Operativos Windows el próximo martes de parchado.
Se estima que estas actualizaciones afecten el desempeño de los procesadores Intel. Estos efectos aún están bajo medición aunque se estima un impacto entre el 5% y el 30% en el desempeño.
La solución es básicamente separar la memoria del núcleo completamente de los procesos del usuario usando Kernel Page Table Isolation (KPTI), lo que recientemente fue posible revelar mediante un ataque denominado Forcefully Unmap Complete Kernel With Interrupt Trampolines (o F**KWIT) en el núcleo de Linux.
Cuando un programa necesita realizar cualquier acción como escribir un archivo o abrir una conexión de red, pasa el control temporalmente al procesador para que el núcleo realice la tarea. para realizar esta transición del usuario al núcleo y de vuelta lo mas rápida y eficientemente posible, el núcleo se presenta en todos los espacios de memoria virtual de los procesos, aún cuando no sea visible para los programas. Luego cuando se necesita el núcleo, el programa realiza una llamada al sistema, el procesador cambia al modo de núcleo y lo accede. Cuando está realizado, la CPU es indicada a volver al modo de usuario para re-entrar al proceso, mientras en el modo de usuario el código del núcleo y sus datos permanecen fuera de vista pero presentes en las tablas de paginación del proceso.
Los parches KPTI mueven el núcleo a una dirección completamente diferente a los procesos del usuario, de forma que no sea visible en absoluto. Con esto se pretende evitar que código maligno vulnere la protección mediante Kernel Adress Space Layout Randomization (KASLR). Este mecanismo de defensa usado por varios Sistemas Operativos para alojar componentes del núcleo en ubicaciones aleatorias en la memoria virtual.
Esto parece una buena solución, pero, los procesadores modernos realizan “ejecución especulativa”, al ejecutar una instrucción la CPU intenta predecir cual será la próxima instrucción que debe ejecutar, la prueba y si es válida la realiza. Hay una falta de seguridad en esta ejecución especulativa que al combinarse con lo anteriormente explicado permitiría eventualmente que un proceso a nivel de usuario pueda acceder directamente a instrucciones del núcleo y procesador, lo cual es peligroso.
¿Como afecta esto a usuarios Sophos?
El 3 de enero del presente año, Microsoft liberó un aviso de seguridad el cual incluye actualizaciones de emergencia para el problema, esto incluye contactar al fabricante de su Anti Virus para comfirmar que es compatible con el parche y a la vez definir una llave específica en el registro de Windows.
Sophos ha finalizado las pruebas de compatibilidad con la isntalación de este parche y con la modificaciáon del registro de Windows, confirmando de que no existen problemas de compatibilidad.
Sophos comenzará a agregar de forma automática la llave de registro a los siguientes productos de Sophos Endpoint y Server desde el 5 de enero de 2018:
Sophos Central Endpoints/Servers

Sophos Enterprise Console Endpoints/Servers

Preview subscriptionRecommended subscription

Sophos Endpoint StandaloneSophos Virtual Enviroment (SVE)UTM Managed EndpointsSophos Home

Los clientes que deseen aplicar el parche de inmediato, antes de que la actualización de Sophos lo realice automáticamente, pueden realizarlo de forma manual tal como se indica en el articulo de Microsoft https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002.
Alternativamente es posible descargar y aplicar el parche sin la llave de registro.
Tome nota de que Microsoft indica que “además podría ser necesario instalar actualizaciones de firmware desde el fabricante de su dispositivo para protección adicional. Revise con el fabricante de su dispositivo para actualizaciones relevantes”. Para mayor información lea el artículo de Microsoft https://support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe. Sophos recomienda que realice pruebas antes de aplicar actualizaciones de firmware en ambientes productivos.
Además Sophos se encuentra evaluando el impacto en sus productos como XG Firewall, UTM y otros appliances que ejecutan Linux y contienen procesadores Intel para asegurarse de que están debidamente protegidos antes esta vulnerabilidad.
Parches e información de otros fabricantes/proveedores:
https://support.f5.com/csp/article/K91229003