NOTA: El lunes 29 de enero, Microsoft lanzó una actualización de seguridad crítica para deshabilitar la mitigación de una de las dos vulnerabilidades de CPU de Spectre, CVE-2017-5715: Branch Target Injection, para Windows 7, 8.1, 10, Server 2008 R2 y Server 2012 R2. Para más información, incluyendo instrucciones para la descarga, puedes ingresar al sitio web de Microsoft en KB4078130: Update to disable mitigation against Spectre, Variant 2. El software de ESET no se ve afectado por esta actualización, y recomienda a sus clientes que sigan la guía de Microsoft y de los proveedores de otros sistemas operativos para aplicar parches a las vulnerabilidades Meltdown y Spectre.
NOTA: Microsoft lanzó el Aviso de Seguridad 18002 el miércoles 3 de enero de 2018 para mitigar una vulnerabilidad masiva en las arquitecturas de equipos modernos con Windows. ESET lanzó ese mismo día el módulo Antivirus y antispyware 1533.3 para todos sus clientes para asegurarse que el uso de nuestros productos no afecte la compatibilidad con el parche de Microsoft.
Contexto
Los primeros días de 2018 han estado llenos de discusiones ansiosas sobre una masiva vulnerabilidad en la arquitectura de procesadores basados en Core de Intel utilizados en dispositivos por muchos años, y que también afecta a procesadores ARM utilizados comúnmente en tablets y smartphones.
Al momento de escritura, no todos los detalles fueron publicados, pero al parecer el inconveniente es que programas corriendo en modo-usuario (el rango "normal" de memoria en el que aplicaciones y software son ejecutados) en una computadora pueden inferir o "ver" parte de la información almacenada en el modo-kernel (el rango "protegido" de memoria que contiene al sistema operativo, los drivers del dispositivo e información sensible tales como contraseñas y certificados criptográficos).
Arreglos para prevenir que programas modo-usuario "fisgoneen" en la memoria de modo-kernel están siendo lanzados por vendors de sistemas operativos, hipervisores e inclusive compañías de cloud computing, pero al parecer la primera ronda de parches va a ralentizar en algún punto a los sistemas operativos. El alcance exacto de esta ralentización todavía está siendo debatida. Intel ha afirmado que la baja en el rendimiento "no será significativa" para la mayoría de los usuarios, pero el sitio Phoronix (cuya principal temática es Linux) afirma que las penalidades de performance pueden ir del 5% al 30%, dependiendo de lo que el equipo esté ejecutando.
Historia
Un largo hilo de Reddit titulado "Intel bug incoming" ha estado rastreando la vulnerabilidad desde que información relacionada con ella apareció el 2 de enero de 2018; Ars Technica y The Register han tenido también una excelente cobertura del tema.
El fabricante de procesadores AMD ha anunciado que no han sido afectados, de acuerdo a reportes de CNBC y un mensaje en la Linux Kernel Mailing List enviado por un ingeniero de AMD. Pero reportes tanto de Project Zero de Google como de Microsoft afirman que los procesadores de AMD sí se ven afectados. AMD ha publicado un comunicado aclarando la situación.
El artículos de Microsoft destaca que este inconveniente no es específico de Windows, y que también afecta a Android, Chrome OS, iOS y macOS. El aviso de Red Hat incluye a la arquitectura POWER de IBM como vulnerable. Por su parte, fabricantes de hipervisores como VMWare y Xen han publicados sus propios avisos, así como también lo ha hecho Amazon Web Services.
Vendors afectados
Aquí hay una lista de los vendors afectados y sus respectos anuncios y/o parches
Detalles técnicos
La confusión sobre las marcas de CPUs afectadas se puede deber al hecho de que no se trata de una sola vulnerabilidad, sino dos muy similares, bautizadas Meltdown y Spectre por sus respectivos descubridores. Estas vulnerabilidades tienen tres números CVE (un standard cuasi gubernamental para rastrear vulnerabilidades de seguridad) asignadas a ellas:
Número CVE | Descripción |
---|---|
CVE-2017-5715 | Branch Target Injection, explotado por Spectre |
CVE-2017-5753 | Bounds Check Bypass, explotado por Spectre |
CVE-2017-5754 | Rogue Data Cache Load, explotado por Meltdown |
Por muchos años, los fabricantes (tales como Intel) han sido capaces de arreglar errores en la arquitectura de los procesadores a través de actualizaciones microcódigo, las cuales escriben el código en el propio procesador para arreglar el bug. Pero por (hasta ahora no aclarada) razón o razones, esta vulnerabilidad puede no ser arreglada de este modo en el caso de Intel, por lo que los fabricantes de sistemas operativos han colaborado para lanzar parches para las vulnerabilidades.
El aviso de seguridad de Intel (INTEL-SA-00088 Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method) lista 44 familias de procesadores afectadas, y cada una tiene docenas de modelos. ARM ha lanzado un aviso titulado "Vulnerability of Speculative Processors to Cache Timing Side-Channel Mechanism" que actualmente lista 10 modelos de procesadores afectados.
La respuesta de ESET
Tal como se mencionó al comienzo de este artículo, ESET ha lanzado la actualización 1533.3 para su módulo Antivirus y antispyware el miércoles 3 de enero de 2018 para todos sus clientes para asegurar la compatibilidad con las actualizaciones de Microsoft para los sistemas operativos Windows. ESET se encuentra trabajando junto a vendors de software y hardware para mitigar los riesgos que implican estas vulnerabilidades.
Para información adicional ver:
- Aviso de ESET 2018-001: se descubren las vulnerabilidades Spectre y Meltdown
- Blog Corporativo de ESET: Meltdown y Spectre: Cómo protegerte de estas fallas de seguridad
- Alerta de ESET 6644: ESET protege frente a las vulnerabilidades Spectre y Meltdown
Por favor revisa periódicamente estos artículos y vuelve a visitar este post para actualizaciones sobre la información adicional que vaya surgiendo.
Especial agradecimiento a mis colegas Tony Anscombe, Richard Baranyi, Bruce P. Burrell, Shane Curtis, Nick Fitzgerald, David Harley, Elod K., James R., Peter Stancik, Marek Z., y Righard Zwienenberg por su colaboración en la preparación de este artículo.