Spectre y Meltdown Sacuden el Panorama de la Ciberseguridad; Amenazan los Ambientes Clouds Compartidos

by Pablo Mosqueira on 01/09/2018

(actualizado Enero 19, 2018)
Los gigantes de la tecnología fueron impulsados a modo pánico esta semana, cuando las vulnerabilidades de casi dos décadas de antigüedad en dispositivos utilizados en todo el mundo resultaron ser perfectos para ser aprovechados por Spectre y Meltdown , dos bugs que afectan a casi todos los dispositivos conectados.

Spectre y Meltdown son técnicas para el exfiltrado de datos que sacan ventajas de las fallas en casi todas las unidades de procesamiento central (CPU) que se utilizan en ordenadores y dispositivos móviles actuales. Estas no son vulnerabilidades tradicionales que se pueden encontrar en una aplicación como Microsoft Word o Chrome. Más bien, estos errores se aprovechan de fallas en la protección alrededor del “kernel” de la arquitectura del CPU – el área donde los datos crudos sin cifrar pasan a través de extensas defensas -anteriormente asumidas como impenetrables – para bloquear la interferencia de partes externas.

Cada uno de estos bugs son técnicas que trabajan alrededor de las protecciones custodiando el contenido que pasa a través del kernel, revelando información sensible personal identificable (PII), como contraseñas o información confidencial que los ordenadores procesan.

El Meltdown aflige a los procesadores Intel, apuntando a la barrera que detiene el software y las aplicaciones que acceden a información no relacionada dentro del kernel, tal como contraseñas para otras aplicaciones. Meltdown hace que estas barreras no sean fiables, permitiendo que las aplicaciones no relacionadas interfieran e interaccionen con los datos recopilados por otros programas en el dispositivo.

Mientras que el Meltdown afecta principalmente a ordenadores de escritorio y portátiles, el Spectre va un paso más allá, infectando a Intel, AMD y procesadores ARM. El Spectre es también un tanto sigiloso – en lugar de debilitar la barrera para el kernel, como el Meltdown, el Spectre engaña a las aplicaciones para que compartan los datos recopilados el uno con el otro, abriendo las puertas principales para el robo de datos cuando los actores malintencionados acceden a la CPU.

Esto concierne en particular a servidores que facilitan entornos cloud multi-tenant. Si Spectre y Meltdown llegan a infiltrarse en las defensas de un kernel cloud compartido, todos los inquilinos se encuentran sujetos a posibles brechas que pueden comprometer los datos críticos de la empresa.

Lo primero que deben hacer los usuarios se aseguren de que sus sistemas están actualizados con los últimos parches de Microsoft, Amazon, Google y otros proveedores de cloud computing.

iboss ha confirmado que su capacidad cloud y de sistemas no son vulnerables a Meltdown o Spectre. Además, debido a que la Plataforma de Gateway Distribuida aprovecha una infraestructura cloud no-compartida, sus clientes no se enfrentan a los riesgos (como Meltdown y Spectre) asociados con infraestructuras multi-inquilino o compartidas. La arquitectura única de iboss ofrece la opción tanto para nodos virtualizados y no virtualizados para las industrias altamente reguladas. Ambas opciones proporcionan una protección sin precedentes sin sacrificar el control de los datos de usuario.

Original de Paul Martini CEO y co-fundador de iboss Cybersecurity: https://www.iboss.com/resources/blog/meltdown-spectre-threaten-cloud

Meltdown y Spectre: Lo que necesita saber!

Las vulnerabilidades del CPU conocidas como Meltdown (solo Intel) y Spectre (Intel, AMD y ARM) fueron descubiertas por varios investigadores independientes utilizando multiples ejemplos de pruebas-de-concepto de los métodos de ataque. Robaron credenciales en tiempo real y lograron otros puntos interesantes como permitir a un usuario el modo para procesar en un ambiente de VM y obtener acceso a otros datos procesados en el mismo hardware físico. A continuación una lista con lecturas ligeras sobre estos problemas.

CERT Vulnerability Note VU#584653

Intel Security Advisory (Intel-SA-00088)

Microsoft Security Advisory (ADV180002)

Ya han sido muchos días de encabezados, reseñas y PoCs sobre estos problemas. Queremos enfocarnos más en las acciones que todos deben de tomar y compartir algunos de los informes sobre lo mismo. Todos las advertencias abajo descritas ofrecen la misma orientación básica:

1. Aplicar actualizaciones al sistema operativo (algunas actualizaciones de aplicaciones pueden mitigar también estos ataques)

2. En servidores con Windows tiene que habilitar las funciones para mitigar y reiniciar el sistema de nuevo para que estos tomen efecto

3. Aplicar actualizaciones al firmware

La Guía de Microsoft para la Protección Contra la Ejecución Especulativa de Vulnerabilidades en Canales Alternos (incluye ejemplos PowerShell de como hacer pruebas para asegurar que un sistema con Windows sea protegido apropiadamente)

Intel-SA-00086 Herramienta de Detección

¿Qué es lo que se ve afectado?

Si usted revisó la nota en la KB de CERT usted habrá visto una lista de los fabricantes afectados, prácticamente todos. Microsoft liberó sus actualizaciones la semana pasada. Apple libero sus actualizaciones para OSX 10.13.2 y se encuentra trabajando en la 10.13.3. Varios sistemas con Linux también liberaron actualizaciones para el kernel. Intel liberó actualizaciones para CPUs de cinco años atrás (el problema afecta CPUs hasta de dos décadas atrás, así que hay más por venir). Muchos fabricantes OEM han comenzado a liberar actualizaciones para sus plataformas más nuevas y comunes y se encuentran marchando hacia atrás.

Pero existen otros fabricantes de soluciones de seguridad como Fortinet que al día de hoy no tienen una actualización que resuelva el problema y todavía se encuentran investigando el problema.

Problemas Conocidos:

Existen alguna cuestiones que debe de considerar en la medida que vaya implementando las soluciones.

Posible impacto al rendimiento: La razón de esto es la forma en que las correcciones se van implementando. Estamos tratando con un defecto de hardware fundamental que no pueden ser solucionados físicamente, por lo que las reglas a nivel de software y firmware necesitan cambiar para protegerse contra este tipo de ataque.

Han habido algunos juicios de acción judicial, y un artículo que encontramos incluso publica algunas medidas, que muestran un incremento de un 20 por ciento en el uso de la CPU.

Epic Games culpa a actualizaciones sobre el tiempo de inactividad

Acciones judiciales con Intel

Los impactos van a ser dependientes de la carga de trabajo, ya que tanto los investigadores de Intel como de Google han atestiguado, así que no espere que todos los sistemas se vean afectados significativamente. Pero haga prueba de los sistemas críticos especialmente para validar que, en su caso, los efectos que se pueden ver.

Incompatibilidad con el AV puede causar errores de colisión/pantalla azul:

Las actualizaciones de Microsoft tuvieron algunos conflictos desagradables con los antivirus debido a los cambios en el comportamiento del kernel y cómo muchos de los fabricantes de AV se encontraban operando. Los proveedores de antivirus han respondido bastante rápido con las actualizaciones para corregir el problema; pero para asegurar sus parches de Enero se instalan en el sistema operativo sin un error de pantalla azul, Microsoft ha tenido que colocar una clave en el registro adicional para validar que los sistemas han sido actualizados (el AV ejecutándose en el sistema esté al día) antes de que sus sistemas de actualización instalen los parches de Enero. Pero nos dejan todavía algunos casos para estar preocupados:

  1. Los sistemas que no reciben la actualización porque el agente de AV en un entorno desconectado, no se actualizan (sucede), etc. no serán capaces de instalar la actualización de Microsoft a través de sus sistemas de actualización (WU, WSUS, SCCM Ivanti, etc.).
  2. Los sistemas que NO ejecuten un AV tampoco tendrán la clave del registro y no se actualizarán. En este caso, necesitarán poner la clave de registro en su lugar manualmente o a través de otros medios.

**Actualización** Incompatible con procesadores AMD pueden resultar en escenarios donde no se pueden iniciar:

Esto nos deja con algunas dudas. ¿Tiene la visibilidad para saber qué sistemas se han actualizado o cuales todavía necesitan ser actualizados? El simple hecho de empujar las actualizaciones pueden no ser 100% fiable, por lo que necesita de reportes\análisis para estar seguro. La detección de la solución de Ivanti puede mostrar cuando falta una actualización que se despliega para los sistemas que cumplen con el requisito adicional o un elemento no desplegable que destaca claramente su ausencia en los sistemas que son vulnerables.

Ivanti Patch para SCCM, nuestra solución de parches para ambientes SCCM, puede obtener los catálogos mayores de controladores de Dell, HP, y Lenovo, para que obtenga el acceso fácil a las actualizaciones de los controladores que se encuentran disponibles y publicados para su distribución por el SCCM.

 

Sigue a Web Security GANG en Google+!

Leave a Comment

Previous post:

Next post: