Pavel Ignatov - Fotolia

Lo básico Póngase al día con nuestro contenido introductorio.

Se lanzaron parches y mitigaciones para Meltdown y Spectre

Los proveedores publicaron las revelaciones de vulnerabilidad y los parches para los nuevos ataques de CPU Meltdown y Spectre a medida que la industria de la seguridad de la información comienza a mitigar los riesgos.

Los defectos de la arquitectura del microprocesador bajo intensa especulación ahora tienen nombres, Meltdown y Spectre, así como detalles, parches y técnicas de mitigación, aunque aún existe una gran preocupación.

Una colaboración de investigadores del equipo Project Zero de Google; la Universidad Tecnológica de Graz en Estiria, Austria; la Universidad de Pennsylvania; la Universidad de Adelaide en Australia y varias compañías de seguridad publicaron los detalles completos de dos ataques –llamados Meltdown y Spectre– que explotan las fallas inherentes a las CPU modernas para robar datos confidenciales de la memoria. Actualmente, Meltdown solo ha demostrado su eficacia contra los procesadores Intel, mientras que el ataque Specter se puede aprovechar contra procesadores de Intel, AMD y ARM.

Ambos ataques explotan las fallas en la forma en que los procesadores modernos implementan la asignación al azar del diseño de espacio de direcciones (ASLR). De acuerdo con la página de marca oficial de revelación de la vulnerabilidad Meltdown y Spectre, la diferencia entre los ataques es el tipo de memoria accesible.

"Meltdown rompe el mecanismo que impide que las aplicaciones accedan a la memoria arbitraria del sistema", escribieron los investigadores. "En consecuencia, las aplicaciones pueden acceder a la memoria del sistema. Specter engaña a otras aplicaciones para que accedan a ubicaciones arbitrarias en su memoria. Ambos ataques utilizan canales laterales para obtener la información de la ubicación de la memoria a la que se accede".

Ataques Meltdown y Spectre

Jake Williams, fundador de la consultora Rendition InfoSec LLC, amplió esto para explicar que Meltdown podía leer memoria física, incluida la memoria del kernel, mientras que Specter "solo puede leer la memoria del proceso actual, no del kernel y otra memoria física".

Debido a esta distinción, Williams dijo durante un webcast de SANS que el uso principal de Meltdown parecía ser la escalada de privilegios y el escape del hipervisor del contenedor/virtualización, mientras que Specter se explotaría principalmente a través de la ejecución de JavaScript en el navegador.

"En cualquier sistema no parchado, si un atacante puede ejecutar un proceso, puede volcar toda (o la mayoría) de la memoria física [usando Meltdown.] Con memoria física, los atacantes podrían identificar hashes de contraseñas, ejecutar un ataque tipo Mimikatz en Windows o encontrar llaves privadas", dijo Williams. "Usando JavaScript, los ataques de Spectre podrían usarse para filtrar el caché del navegador u otros datos guardados que pertenecen a otros sitios. Spectre puede usarse para determinar la dirección de un módulo en la memoria y eludir ASLR, marcando la nueva era de explotación práctica del navegador".

Los investigadores admitieron que Meltdown y Spectre pueden ser especialmente peligrosos porque es posible que no se pueda detectar si se ha producido un ataque ya que "la explotación no deja ningún rastro en los archivos de registro tradicionales".

Parches y mitigación para Meltdown y Spectre

El ataque Meltdown explota la vulnerabilidad CVE-2017-5754 y Specter usa CVE-2017-5753 y CVE-2017-5715. Parches y técnicas de mitigación ya han sido lanzados por la mayoría de los principales proveedores. [Nota del editor: Los enlaces a todos los parches para Meltdown y Spectre y las técnicas de mitigación se encuentran en el sitio de investigación].

La especulación inicial en torno a Meltdown y Spectre comenzó debido a la fusión del kernel de aislamiento página-tabla (KPTI) en el código de Linux, que mitigó la amenaza, y las principales distribuciones de Linux (Red Hat, Debian, Ubuntu y SUSE) confirmaron que las actualizaciones están en vivo para los usuarios.

Google lanzó el parche de Android como parte de su actualización de seguridad de enero –que solo recibirán los usuarios de Nexus y Pixel al principio– y también anunció protecciones para G Suite, Google Cloud Platform, Chrome OS, Chrome y más.

Microsoft dijo que "la mayoría" de su infraestructura de nube Azure ha sido parchada contra Meltdown y Spectre, pero es posible que algunas VM de los clientes tengan que reiniciarse para poder aplicar el parche; Microsoft ha enviado notificaciones a los afectados. Microsoft también lanzó un parche y un aviso de seguridad para Windows, pero señaló que existe un problema con algunas "aplicaciones antivirus incompatibles" que podrían dejar a los dispositivos sin poder arrancar y no ha enviado el parche a sistemas con problemas AV conocidos.

Kevin Beaumont, arquitecto de seguridad con sede en el Reino Unido, ha estado recopilando información sobre tales problemas de compatibilidad AV.

Las declaraciones de Intel, AMD y ARM han comentado sobre Meltdown y Spectre y los parches y mitigaciones disponibles. Apple no lanzó una declaración, pero los investigadores han encontrado pruebas de parches en macOS e iOS.

Alex Ionescu, vicepresidente de estrategia de EDR en CrowdStrike, aplaudió todo el trabajo de los proveedores para mitigar los riesgos de Meltdown y Spectre.

Sin embargo, a pesar de todo este trabajo, Williams señaló que, con los parches de Meltdown específicamente, "el parche no aborda la vulnerabilidad central, sino que simplemente impide la explotación práctica". Advirtió que esto debería proteger a los usuarios por ahora, pero el hecho de que los actores malintencionados continuarán encontrando formas de explotar los defectos de Meltdown y Spectre "deja en claro que las decisiones de la arquitectura de la CPU deben reconsiderarse".

Este artículo se actualizó por última vez en enero 2018

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close