• +54 (011) 4323-9362

  • de Lun a Vie de 9 a 17 hs

  • ciberseguridad@ba-csirt.gob.ar

  • 04 enero
    Meltdown y Spectre afectando a millones de computadoras en todo el mundo

    Una serie de fallas de diseño en procesadores Intel y AMD pone en riesgo a millones de computadoras en todo el mundo.

    El año en ciberseguridad arrancó este martes, 02 de enero, con la noticia que los procesadores Intel tienen un serio error de diseño que no puede ser solucionado con actualizaciones internas. Este error afecta al control entre el Kernel (software que constituye una parte fundamental de los sistemas operativos y es el principal responsable de facilitar los distintos programas de acceso al hardware de las computadoras) y la CPU. Es decir, permite que los Kernel no puedan controlar correctamente los permisos de las aplicaciones, pudiéndole dar acceso a procesos que no tienen los permisos necesarios.

    Esto es extremadamente grave, puesto que en el Kernel de los sistemas operativos es donde se ocultan -por seguridad- datos importantes del resto de procesos, como contraseñas y claves de acceso. Un ataque que explotase dicho problema permitiría a un software malicioso espiar lo que están haciendo otros procesos y también espiar los datos que están en esa memoria en la computadora (o dispositivo móvil basado en chips Intel) atacada.

    Asimismo, hoy se conocieron nuevos datos que indican que ese primer problema de seguridad (bautizado como 'Meltdown') -que sí se podría solucionar con parches- tiene una variante aún más peligrosa. Se trata de “Spectre”: una falla de diseño similar a la de Intel pero aún más grave porque afecta no sólo a los procesadores de este fabricante, sino también a los diseños de AMD y ARM. La información que se tiene en estos momentos revela algo todavía más preocupante: no hay solución para atajar un potencial ataque que explote la vulnerabilidad que presenta “Spectre”.

    Los datos actuales provienen especialmente de un grupo de investigadores de seguridad formados por expertos del llamado “Project Zero de Google”, de la Universidad de Tecnología de Graz (Universidad de Pennsylvania), de la Universidad de Adelaida en Australia y de las empresas de seguridad informática Cyberus y Rambus, las cuales habían descubierto la vulnerabilidad el año pasado, lo que les dio tiempo para mitigar la falla y evitar cualquier problema en sus productos que pudiese afectar a sus usuarios. Todos ellos han publicado los detalles de estos ataques basados en fallas de diseño y, como revelan en su estudio, la diferencia fundamental entre ambos es que “Meltdown” permite acceder a la memoria del sistema, mientras que “Spectre” permite acceder a la memoria de otras aplicaciones para robar esos datos.

    Resumiendo...

    • Meltdown: permite a un programa acceder a la memoria (y secretos) de otros programas y del sistema operativo. Rompe el aislamiento fundamental que existe entre las aplicaciones de usuario y el sistema operativo. El problema afecta a computadoras personales y a la infraestructura cloud (los grandes entornos en la nube como los de Amazon EC2, Microsoft Azure o Google Compute Engine. De hecho, algunas de estas empresas, como Microsoft, han anunciado mantenimientos y reinicios en sus sistemas en la nube, posiblemente para solucionar este error).
    Es importante destacar que hay parches de software para atajar los ataques “Meltdown”, el cual afecta al rendimiento de las computadoras que usan procesadores (chips) Intel desde 1995 en adelante. Sólo los Itanium y los Intel Atom desarrollados antes de 2013 están fuera de peligro. Los investigadores no han podido comprobar, de momento, si el problema afecta también a los procesadores de ARM y de AMD, y solo indican que "no está claro" si también podrían estar expuestos.

    • Spectre: este problema va más allá y rompe el aislamiento entre distintas aplicaciones. Un atacante podría usarlo para vulnerar la seguridad de aplicaciones que han sido programadas perfectamente y siguiendo las mejores prácticas y, de hecho, seguir esas prácticas acaba siendo irónicamente contraproducente, ya que hace a estos programas más vulnerables a Spectre.
    A diferencia del caso anterior, no hay parches de software para Spectre, el cual es más difícil de explotar que “Meltdown”, pero también más difícil de mitigar. Los riesgos son mayores porque, además de afectar las CPUs actuales también afecta servidores, dispositivos móviles, televisores inteligentes y a un número reducido de chips ARM (los que usan los últimos celulares) y AMD.

    Soluciones existentes al momento:

    El parche para “Meltdown” tiene una contrapartida, ya que hace que el sistema se ralentice entre un 5% y un 30% (dependiendo de la tarea y el modelo del procesador). De todos modos, el US CERT recomienda a los usuarios que apliquen estos parches, actualizando los sistemas operativos y navegadores para frenar a “Spectre” y “Meltdown”. Esta vulnerabilidad está tan extendida que podría afectar a la mayoría de los equipos del planeta.

    • Microsoft
     Publicó el parche para Windows 10, conocido como KB4056892 que permite evitar el ataque de “Meltdown”. Si no ha llegado de forma automática, lo hará probablemente en las próximas horas, pero parece que dicha actualización no está exenta de problemas.
     Igualmente, recomendamos su instalación manual desde la configuración de Windows 10; allí hay que iniciar la actualización manual. De hecho, en una nota adicional, Microsoft explicaba que la actualización podía entrar en conflicto con algunos antivirus, lo que podría dar lugar, a su vez, a que se produjeran errores graves y se mostraran las célebres "pantallas azules de la muerte".
     Antes de aplicar una actualización, sugerimos crear un punto de restauración desde la Configuración de Windows. En Microsoft han recomendado instalar un antivirus compatible o bien hacer uso de Microsoft Security Essentials para evitar el problema. Además, han revelado que para los usuarios de Windows 7, Windows Server 2008 R2 y Windows Server 2012 los desarrolladores de antivirus deberán usar una clave de registro específica para solucionar el problema.

    • Apple
     Publicó la actualización macOS 10.13.2, que corrige estas vulnerabilidades; se aplica, como en Windows, con el proceso de actualización general.
     La compañía no dio información sobre qué sucede con iOS11; al igual que en Android, los chips ARM afectados son pocos y la implementación del ataque es, según los expertos, notoriamente más compleja. Pero no hay razones para pensar que está fuera de peligro, por lo que se espera que publique una actualización en breve.

    • Google
     Teléfonos celulares con sistema operativo Android: Google dice en su página de soporte que los dispositivos que tengan el último parche de seguridad (publicado el 2 de enero de 2018 - https://source.android.com/security/bulletin/2018-01-01) están protegidos; y que no se conocen implementaciones de este ataque en Android. Una actualización de seguridad que se publicará el 5 de enero de 2018 incluirá mecanismos para mitigar el problema y ayudar a proteger nuestros teléfonos, pero además se proporcionarán más actualizaciones para incluir más parches en este sentido.
     Navegador de Google: también dispone de mecanismos para proteger las sesiones de navegación. El próximo 23 de enero se publicará Google Chrome 64, la nueva versión en la que se activarán por defecto estos mecanismos. Uno de ellos es el llamado Site Isolation, que permite aislar sitios web en distintos espacios de direcciones de memoria para evitar problemas. Este mecanismo se puede activar ya manualmente en las actuales versiones de Chrome. Para ello, hay que ir a la dirección "chrome://flags/#enable-site-per-process" en el navegador, lo que nos presentará la opción marcada en amarillo y, al lado, un botón "Habilitar". Tras hacerlo tendremos que reiniciar el navegador, con lo que quedará activado ese sistema de mitigación del problema.

    • Mozilla
     Por su parte Mozilla confirmó que está disponible una actualización para Firefox 57 que mitiga la posibilidad del ataque.

    • Linux
     Los parches para Linux ya están disponibles y se actualizan según cada distribución.

    Referencia:

    www.kb.cert.org/vuls/id/584653