Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Meltdown y Spectre son un gran problema para las empresas

Aunque los consumidores no se ven afectados por las vulnerabilidades de seguridad recientemente reveladas en la mayoría de los procesadores modernos, las empresas deben tomarse en serio la amenaza.

Ahora que los exploits de microprocesadores llamados Meltdown y Spectre se han hecho públicos, los expertos en seguridad creen que los actores maliciosos incorporarán rápidamente sus arsenales de ataques cibernéticos y advierten que no hay tiempo para que las empresas demoren la adopción de medidas.

Según investigadores de la firma de seguridad McAfee, estos exploits son singularmente atractivos para grupos o personas malintencionadas porque la superficie de ataque es casi sin precedentes, el vector de ataque es relativamente nuevo y los impactos (escalada de privilegios y filtraciones de memoria altamente sensible) son perjudiciales.

La forma más probable en que las empresas podrían verse afectadas es que los exploits harán que sea mucho más fácil que nunca antes el que los atacantes adquieran credenciales del administrador de dominio u otras credenciales de alto valor. Los exploits también pueden permitir que un atacante construya un mapa de diseño de la memoria del núcleo que luego podría usarse en otro ataque.

Meltdown es una vulnerabilidad específica del procesador Intel que permite a los procesos de los usuarios inferir los contenidos de la memoria kernel, creando cargas de caché en ubicaciones basadas en los contenidos de la memoria kernel, referenciados ilegalmente, con lo que se filtran los contenidos.

Spectre, sin embargo, no es específico del fabricante, y casi todos los procesadores modernos tienen el defecto. Utiliza la lógica condicional para entrenar al sistema a anticipar incorrectamente el comportamiento de la aplicación. Esto engaña al sistema para que rompa el aislamiento del proceso, ejecutando temporalmente instrucciones que crean efectos observables, constituyendo un canal encubierto.

De acuerdo con Jeff Pollard, analista principal de Forrester, las vulnerabilidades de los chips resaltan la complejidad de la seguridad de la superficie de ataque de la seguridad empresarial y los profesionales de riesgos están a cargo de la defensa.

"Los equipos de seguridad de las empresas necesitarán priorizar las pruebas y el despliegue del parche, o arriesgarse a dejar una abertura para que los atacantes la exploten. Es por eso que hacemos hincapié en la confianza cero como un concepto fundamental de la seguridad cibernética. Su hardware no es seguro, su software no es seguro y sus productos de seguridad no son seguros", dice.

Lo que las empresas necesitan saber sobre Meltdown

La buena noticia es que Meltdown se puede reparar con actualizaciones de software. La Oficina del Comisionado de Información es una de las voces más importantes que aconseja a las empresas de todos los sectores que apliquen tan pronto como sea posible las actualizaciones de seguridad para el software del sistema operativo, con el fin de mitigar el exploit Meltdown.

Intel recibió asistencia de los colaboradores del sistema operativo de Linux, junto con Microsoft y Apple, que desarrollaron parches para las correcciones de nivel de sistema operativo contra Meltdown para Linux, Windows y Mac OS.

Debido a la naturaleza de cualquier parche o actualización, el Equipo de McAfee Advanced Threat Research (ATR) sugiere que las empresas primero apliquen actualizaciones manuales en sistemas no críticos, para garantizar la compatibilidad con software que involucra el uso potencial de características de sistema operativo de bajo nivel.

La amenaza más inmediata para las empresas, según Jarno Niemelä, investigador principal de F-Secure Labs, es el acceso a la memoria proporcionado por Meltdown, que afecta a todos los procesadores Intel fabricados desde 1995 que implementan la ejecución fuera de servicio, con la excepción de Itanium y Atom.

Circunvelación de escalada de privilegios

Antes de Meltdown, un atacante necesitaba obtener acceso a nivel de sistema para usar herramientas de robo de credenciales como Mimikatz, explicó Niemelä. "Pero ahora, con Meltdown, tales operaciones se pueden hacer sin escalada de privilegios, lo que sí ayuda significativamente al atacante. Anteriormente, el atacante dependía de la existencia de una vulnerabilidad local que permitía la escalada de privilegios", dijo a nuestra publicación hermana Computer Weekly.

Meltdown también hace que otros ataques sean más peligrosos, como Rowhammer, que se basa en voltear bits en la memoria al llevar a cabo una secuencia específica de operaciones de memoria y, por lo general, se ha usado en exploits de escalada de privilegios.

Antes de Meltdown, dice Niemelä, la efectividad de Rowhammer estaba limitada por el hecho de que el atacante no podía ver dónde estaban los bits críticos en la memoria del kernel, pero ahora, mientras los sistemas no estén parcheados, un atacante puede ver lo que se debe manipular.

Otra preocupación relacionada con la seguridad empresarial es que Meltdown potencialmente posibilita que los atacantes exploten las vulnerabilidades que anteriormente se mitigaban mediante la asignación al azar del diseño del espacio de direcciones del kernel (ASLR).

Si bien los proveedores de la nube ya han tomado medidas para reparar la infraestructura subyacente, Forrester dice que las empresas también deben parchar todas las máquinas virtuales y los contenedores. Pero los sistemas de plataforma como servicio (PaaS) y de software como servicio (SaaS) no deberían requerir ninguna intervención del cliente.

Los proveedores de PaaS y SaaS deberían instalar los parches para los clientes, pero el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido aconseja que, en caso de duda, las empresas verifiquen que sus proveedores de servicios conozcan el problema e instalen las correcciones.

Debido a que Meltdown viola los límites en los que los desarrolladores y profesionales de seguridad confiaron durante años para mantener los datos seguros, Forrester afirma que sin los sistemas de parches, todos los datos que una organización visualiza, procesa o transfiere, están en riesgo.

Los terceros que tarden demasiado en actualizar los sistemas pondrán en riesgo la información de la empresa y del cliente, advierte Forrester, instando a las empresas a cooperar y colaborar para garantizar que los socios se tomen en serio esta amenaza.

Las empresas que no ejercen una higiene básica al limitar el acceso a los administradores se exponen a riesgos innecesarios, dice Forrester, advirtiendo que el vector probable para el ataque contra un servidor bare metal es a través de la explotación de una vulnerabilidad en un servicio externo. "Ahora es el momento de ser muy diligente para remediar otras vulnerabilidades del software", asegura la consultora.

Microsoft ha lanzado scripts de PowerShell y Linux incluye comandos para determinar si un procesador es vulnerable a Meltdown. Hasta que estas técnicas se incorporen a las herramientas de administración de vulnerabilidades y monitoreo de la infraestructura, Forrester dice que el uso de los scripts y comandos disponibles podría ser la única forma de determinar las exposiciones iniciales y las exposiciones restantes después del parcheo.

Lo que las empresas necesitan saber sobre Spectre

Spectre no se puede arreglar con actualizaciones de software, lo que significa que es un problema mucho más grande para la empresa, según Forrester.

Spectre puede mitigarse solo con actualizaciones de microcódigos, pero arreglar Spectre de forma permanente requiere reemplazar los procesadores afectados. Sin embargo, la mala noticia es que no hay nada en existencia que no tenga este fallo para que las empresas puedan reemplazar inmediatamente los procesadores afectados.

Dado que los nuevos procesadores y arquitecturas pueden tardar de cinco a 10 años en llegar al mercado, Forrester dice que sacrificar el rendimiento en pos de los arreglos de microcódigo es la mejor opción.

Sin embargo, dada la complejidad de distribuir esos arreglos por parte de los fabricantes de dispositivos, Forrester considera que las organizacioness deben planificar el uso de otras técnicas para proteger los datos de los usuarios y las empresas que no han aplicado las correcciones.

Los pasos que los proveedores de la nube están tomando para contrarrestar Meltdown y Spectre implican en gran medida actualizar las pilas de tecnología subyacentes en las que se ejecutan sus servicios. Sin embargo, Forrester observa que los equipos de infraestructura y operaciones deberán actualizar todas las máquinas virtuales y contenedores que se ejecutan sobre ellos.

Cuando se trata de cargas de trabajo en las instalaciones, Forrester advierte que las empresas serán responsables de su stack completo, incluidos los sistemas operativos, los hipervisores subyacentes y el firmware. Las empresas también pueden necesitar actualizar las interfaces de administración que tienen sus propias CPU, lo que resulta en cargas de trabajo más altas de lo normal para administradores de sistemas, administradores de confiabilidad e ingenieros en la nube.

Para mitigar posibles ataques de fusión y espectro, se recomienda a las empresas que prioricen la seguridad de sus implementaciones en la nube.

Ambos exploits reducen los requisitos para que las partes no autorizadas accedan y extraigan datos de las máquinas. Por ejemplo, los atacantes ya no necesitan la ejecución de código en un dispositivo específico o instancia de sistema operativo porque existen canales laterales para la pérdida de datos si un atacante está presente en un sistema con un procesador sin parchear.

Las empresas deben, por lo tanto, esperar que otra persona lea la información de sus sistemas, siempre que no estén reparadas.

Para dirigirse específicamente a una empresa, los atacantes deben encontrar la forma de obligar al proveedor de la infraestructura en la nube a ubicarlos en el mismo servidor bare metal donde residen sus sistemas. Según Forrester, esto es difícil de lograr, y el escenario más probable es que los delincuentes comiencen a extraer los sistemas de sus "vecinos" de la nube para obtener información susceptible de ser comercializada.

La naturaleza de las actualizaciones de software para reparar Meltdown y mitigar Spectre significa que el rendimiento de los sistemas informáticos de la empresa sufrirá.

Los sistemas multi-usuario y las aplicaciones que dependen en gran medida de las llamadas del sistema a nivel de kernel, tales como bases de datos, serán los más afectados, pero según Forrester, las empresas son menos propensas a ver un impacto en equipos de escritorio, computadoras portátiles, tabletas y teléfonos móviles por causa de usuarios que ejecutan aplicaciones enfocadas como navegadores web, aplicaciones de mensajería y procesamiento de textos.

Las proyecciones iniciales sugerían que las empresas podían ver pérdidas de rendimiento de hasta 30%, pero hasta ahora eso no parece ser el caso. Los fabricantes de chips y los proveedores de software han indicado que, si bien los parches agregarán cierto grado de sobrecarga a los sistemas operativos y al software de virtualización, dependiendo del tipo de carga de trabajo, no causarán problemas de rendimiento generalizados.

Estas afirmaciones parecen ser ciertas en la mayoría de los casos, de acuerdo con GeekWire, que cita a John Graham-Cumming, quien supervisa una enorme red de servidores como director de tecnología de Cloudflare, diciendo que los distintos parches para Meltdown y Spectre parecen haber tenido un impacto “ínfimo” en la infraestructura de Cloudflare.

Sin embargo, GeekWire dice que los parches para Meltdown y Spectre están afectando a las aplicaciones que necesitan solicitar datos desde el núcleo del sistema operativo de forma regular, mientras que algunos factores atenuantes para Spectre parecen estar golpeando el rendimiento para aplicaciones que aprovechan el hardware de máquinas virtuales.

La mayoría de los impactos en el rendimiento provienen de las transiciones entre el usuario y el espacio de memoria del kernel, lo que significa que las empresas pueden procesar por lotes las operaciones que requieren tales transiciones y minimizar su número, dice Jarno Niemelä de F-Secure.

"Así que una vez que los desarrolladores estén familiarizados con la nueva norma, podrán optimizar su código para minimizar el impacto. Además, las próximas versiones de los compiladores probablemente contengan optimizaciones para ayudar a evitar los impactos", opina.

"Ambas opciones aumentarán los costos generales. Sin embargo, es importante destacar que el impacto en el rendimiento será insignificante para la mayoría de las aplicaciones, por lo que no es necesario que cunda el pánico en este punto, pero es algo que necesitará observación", dice.

Si los proveedores de software no parchan las versiones anteriores de los sistemas operativos que aún están en uso, Simpson advierte que esto podría causar problemas a las empresas. "Debido a este problema, las organizaciones pueden verse obligadas a actualizarse hacia teléfonos y PCs con una versión compatible del sistema operativo, y eso puede presentar problemas de compatibilidad de aplicaciones", dice.

Además de los parches del sistema operativo, Niemelä recomienda que las empresas endurezcan la superficie de ataque externo, lo que es bastante problemático, ya que especialmente los ataques de Spectre se pueden ejecutar también desde JavaScript ejecutado por el navegador web.

Debido a que los atacantes podrían robar contraseñas de la memoria del proceso del usuario cuando se ejecutan como Javascript desde una página web, Niemelä explica que podría ser una buena idea entrenar a los usuarios para que siempre cierren los navegadores web cuando no estén en uso. "Tengo que admitir que incluso personas conscientes de la seguridad como yo, muy a menudo tienen la culpa de dejar 20 páginas en segundo plano para su posterior lectura", dice.

Sin embargo, Apple ha lanzado actualizaciones para Mac OS e iOS para bloquear exploits de Spectre a través del navegador Safari y Google ha proporcionado un parche experimental para Chrome. Las empresas deben aplicar actualizaciones y parches de navegador tan pronto como estén disponibles, aconseja Niemelä.

"Para objetivos de alto valor podría valer la pena considerar el uso de JavaScript bloqueando y limitando qué secuencias de comandos se pueden ejecutar en un navegador, pero esto tiende a romper la usabilidad de los sitios web modernos", dice.

Niemelä también recomienda implementar la autenticación multifactor (MFA) para que incluso si un atacante puede robar contraseñas, esto les será inútil sin el acceso MFA.

"Tenemos que asumir que incluso con los parches del sistema operativo puede haber un riesgo residual de que Meltdown y Spectre funcionen en algunas condiciones, pero eso puede mitigarse utilizando soluciones de protección de punto final de alta calidad porque, con la excepción de JavaScript, ambos exploits necesitan código en ejecución en el sistema objetivo."

Como mínimo, Simpson dice que los equipos de TI empresariales deben hacer planes para parchear hipervisores y sistemas operativos, y potencialmente actualizar navegadores.

"Esto puede requerir pruebas internas antes de la implementación para garantizar que haya problemas de compatibilidad de aplicaciones y determinar el alcance de cualquier impacto en el rendimiento. Además, considere el tiempo de mantenimiento para los sistemas afectados, ya que parchear el sistema operativo y el hipervisor puede requerir tiempo de inactividad", dice.

En resumen, Meltdown y Spectre son vulnerabilidades significativas con un impacto generalizado, pero el riesgo general es bajo porque la explotación de dichas vulnerabilidades requiere el acceso de administrador local al sistema, dice Javvad Malik, defensor de seguridad en AlienVault.

"Si alguien ya ha comprometido su sistema a ese nivel, probablemente haya problemas mayores de los que preocuparse. Google, AWS y Azure ya están completamente actualizados, por lo que los usuarios deben estar protegidos. Para computadoras y servidores en las oficinas, el consejo es mantener todos los sistemas completamente parchados y actualizados. Es un hallazgo importante, pero no se han visto instancias conocidas atacando libremente, y hay pocos usuarios que puedan hacer algo más allá de actualizar y parchear todos sus sistemas", dijo a Computer Weekly.

A pesar de la preocupación sobre el impacto potencial de Meltdown y Spectre, McAfee ha dado un giro positivo en el descubrimiento de los exploits. "Esta fue otra falla importante de seguridad descubierta y comunicada por la comunidad de seguridad de la información, en lugar de ser un descubrimiento o una filtración de ataques diseminados. ¿Esta revelación tendrá aspectos negativos? Probablemente sí, pero el efecto general es una atención más global a la seguridad de software y hardware, y una ventaja para los buenos en el desarrollo de sistemas y arquitecturas más robustos para un cómputo seguro”, establece el equipo de investigación de amenazas de la compañía en una publicación de su blog.

Este artículo se actualizó por última vez en enero 2018

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close