NOTA: El lunes 29 de enero, Microsoft lanzó una actualización de seguridad crítica para deshabilitar la mitigación de una de las dos vulnerabilidades de CPU de Spectre, CVE-2017-5715: Branch Target Injection, para Windows 7, 8.1, 10, Server 2008 R2 y Server 2012 R2. Para más información, incluyendo instrucciones para la descarga, puedes ingresar al sitio web de Microsoft en KB4078130: Update to disable mitigation against Spectre, Variant 2. El software de ESET no se ve afectado por esta actualización, y recomienda a sus clientes que sigan la guía de Microsoft y de los proveedores de otros sistemas operativos para aplicar parches a las vulnerabilidades Meltdown y Spectre.

NOTA: Microsoft lanzó el Aviso de Seguridad 18002 el miércoles 3 de enero de 2018 para mitigar una vulnerabilidad masiva en las arquitecturas de equipos modernos con Windows. ESET lanzó ese mismo día el módulo Antivirus y antispyware 1533.3 para todos sus clientes para asegurarse que el uso de nuestros productos no afecte la compatibilidad con el parche de Microsoft.

Contexto

Los primeros días de 2018 han estado llenos de discusiones ansiosas sobre una masiva vulnerabilidad en la arquitectura de procesadores basados en Core de Intel utilizados en dispositivos por muchos años, y que también afecta a procesadores ARM utilizados comúnmente en tablets y smartphones.

Al momento de escritura, no todos los detalles fueron publicados, pero al parecer el inconveniente es que programas corriendo en modo-usuario (el rango "normal" de memoria en el que aplicaciones y software son ejecutados) en una computadora pueden inferir o "ver" parte de la información almacenada en el modo-kernel (el rango "protegido" de memoria que contiene al sistema operativo, los drivers del dispositivo e información sensible tales como contraseñas y certificados criptográficos).

Arreglos para prevenir que programas modo-usuario "fisgoneen" en la memoria de modo-kernel están siendo lanzados por vendors de sistemas operativos, hipervisores e inclusive compañías de cloud computing, pero al parecer la primera ronda de parches va a ralentizar en algún punto a los sistemas operativos. El alcance exacto de esta ralentización todavía está siendo debatida. Intel ha afirmado que la baja en el rendimiento "no será significativa" para la mayoría de los usuarios, pero el sitio Phoronix (cuya principal temática es Linux) afirma que las penalidades de performance pueden ir del 5% al 30%, dependiendo de lo que el equipo esté ejecutando.

Historia

Un largo hilo de Reddit titulado "Intel bug incoming" ha estado rastreando la vulnerabilidad desde que información relacionada con ella apareció el 2 de enero de 2018; Ars Technica y The Register han tenido también una excelente cobertura del tema.

El fabricante de procesadores AMD ha anunciado que no han sido afectados, de acuerdo a reportes de CNBC y un mensaje en la Linux Kernel Mailing List enviado por un ingeniero de AMD. Pero reportes tanto de Project Zero de Google como de Microsoft afirman que los procesadores de AMD sí se ven afectados. AMD ha publicado un comunicado aclarando la situación.

El artículos de Microsoft destaca que este inconveniente no es específico de Windows, y que también afecta a Android, Chrome OS, iOS y macOS. El aviso de Red Hat incluye a la arquitectura POWER de IBM como vulnerable. Por su parte, fabricantes de hipervisores como VMWare y Xen han publicados sus propios avisos, así como también lo ha hecho Amazon Web Services.

Vendors afectados

Aquí hay una lista de los vendors afectados y sus respectos anuncios y/o parches

Vendor Aviso/Anuncio
Amazon (AWS) AWS-2018-013: Processor Speculative Execution Research Disclosure
AMD An Update on AMD Processor Security
Apple HT208331: About the security content of macOS High Sierra 10.13.2, Security Update 2017-002 Sierra, and Security Update 2017-005 El Capitan
HT208394: About speculative execution vulnerabilities in ARM-based and Intel CPUs
ARM Vulnerability of Speculative Processors to Cache Timing Side-Channel Mechanism
Azure Securing Azure customers from CPU vulnerability
Microsoft Cloud Protections Against Speculative Execution Side-Channel Vulnerabilities
Google's Project Zero Reading Privileged Memory with a Side-Channel
IBM Potential CPU Security Issue
Intel INTEL-SA-00088 Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method
Microsoft Security Advisory 180002: Guidance to mitigate speculative execution side-channel vulnerabilities
Windows Client guidance for IT Pros to protect against speculative execution side-channel vulnerabilities
Windows Server guidance to protect against speculative execution side-channel vulnerabilities
SQL Server Guidance to protect against speculative execution side-channel vulnerabilities
Important information regarding the Windows security updates released on January 3, 2018 and anti-virus software
Mozilla Mozilla Foundation Security Advisory 2018-01: Speculative execution side-channel attack ("Spectre")
Red Hat Kernel Side-Channel Attacks – CVE-2017-5754 CVE-2017-5753 CVE-2017-5715
VMware NEW VMSA VMSA-2018-0002 VMware ESXi, Workstation and Fusion updates address side-channel analysis due to speculative execution
Xen Advisory XSA-254: Information leak via side effects of speculative execution

Detalles técnicos

La confusión sobre las marcas de CPUs afectadas se puede deber al hecho de que no se trata de una sola vulnerabilidad, sino dos muy similares, bautizadas Meltdown y Spectre por sus respectivos descubridores. Estas vulnerabilidades tienen tres números CVE (un standard cuasi gubernamental para rastrear vulnerabilidades de seguridad) asignadas a ellas:

Número CVE Descripción
CVE-2017-5715 Branch Target Injection, explotado por Spectre
CVE-2017-5753 Bounds Check Bypass, explotado por Spectre
CVE-2017-5754 Rogue Data Cache Load, explotado por Meltdown

Por muchos años, los fabricantes (tales como Intel) han sido capaces de arreglar errores en la arquitectura de los procesadores a través de actualizaciones microcódigo, las cuales escriben el código en el propio procesador para arreglar el bug. Pero por (hasta ahora no aclarada) razón o razones, esta vulnerabilidad puede no ser arreglada de este modo en el caso de Intel, por lo que los fabricantes de sistemas operativos han colaborado para lanzar parches para las vulnerabilidades.

El aviso de seguridad de Intel (INTEL-SA-00088 Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method) lista 44 familias de procesadores afectadas, y cada una tiene docenas de modelos. ARM ha lanzado un aviso titulado "Vulnerability of Speculative Processors to Cache Timing Side-Channel Mechanism" que actualmente lista 10 modelos de procesadores afectados.

La respuesta de ESET

Tal como se mencionó al comienzo de este artículo, ESET ha lanzado la actualización 1533.3 para su módulo Antivirus y antispyware el miércoles 3 de enero de 2018 para todos sus clientes para asegurar la compatibilidad con las actualizaciones de Microsoft para los sistemas operativos Windows. ESET se encuentra trabajando junto a vendors de software y hardware para mitigar los riesgos que implican estas vulnerabilidades.

Para información adicional ver:

Por favor revisa periódicamente estos artículos y vuelve a visitar este post para actualizaciones sobre la información adicional que vaya surgiendo.

Especial agradecimiento a mis colegas Tony Anscombe, Richard Baranyi, Bruce P. Burrell, Shane Curtis, Nick Fitzgerald, David Harley, Elod K., James R., Peter Stancik, Marek Z., y Righard Zwienenberg por su colaboración en la preparación de este artículo.