Spectre y Meltdown semanas después, vulnerabilidades difíciles de explotar pero latentes

Publicado el 22 enero 2018 por Cosmoduende @cosmoduende

Como les contamos hace unos días, Meltdown y Spectre están siendo un dolor de cabeza para muchas empresas y usuarios y después de más de una semana, Intel, Microsoft, AMD y muchos otros están liberando parches para aliviar el problema pero como nos cuenta la firma de seguridad Forcepoint, el problema está aún lejos de ser solucionado al 100 por ciento:


En nuestro blog anterior sobre el tema, se habló de la factibilidad de estos ataques en el mundo real ¿Qué hemos aprendido desde entonces?

MELTDOWN

La mayoría de los proveedores de sistemas operativos liberaron ya parches contra la vulnerabilidad Meltdown, aunque para algunos el nombre les resulta sorprendentemente apto: el parche tuvo algunos efectos bastante notables para algunos proveedores de servicio.

Por ejemplo, Microsoft detuvo la emisión de parches para ciertos sistemas basados en AMD y para otros que corren algunos paquetes antivirus ya que las máquinas no terminaron de arrancar.

Si bien los problemas con la ‘pantalla azul’ no se pudieron prever, sí se esperaban deficiencias en el desempeño antes del lanzamiento de los parches: los efectos de usar la separación ‘KAISER’ en el espacio de la dirección del usuario y del kernel en el rendimiento de las aplicaciones que necesitan hacer llamadas frecuentes a las funciones del kernel (por ejemplo, acceso a la red, acceso a disco, etc.) se entendieron bien en la comunidad técnica antes de que se lanzaran los parches.

Finalmente los parches para Meltdown se han liberado y todos deberíamos ya poder dormir tranquilamente (suponiendo que han aplicado los parches según las instrucciones de los proveedores).

SPECTRE

El asunto de Spectre es mucho más complejo, y describe efectivamente un tipo de vulnerabilidades de sincronización en el canal lateral. Se han identificado al menos dos vectores de ataque que utilizan Spectre a los que nos referiremos como browser-Spectre y kernel-Spectre.

Observando a browser-Spektre, no todos los navegadores han actualizado sus motores JavaScript para brindar protección contra éste (Chrome, por ejemplo, reporta que las mitigaciones se incluirán a partir de Chrome 64, programado para liberarse el 23 de enero de 2018). Por otro lado, si bien parece que varios navegadores son o fueron vulnerables, los investigadores no parecen haber tenido mucho éxito en usar la técnica para extraer información útil.

En tanto, Kernel-Spectre provocó en un principio más preocupación ya que no podía atenuarse con un parche para el sistema operativo, en efecto, hubo preocupaciones iniciales que pudieran haber tenido que esperar una nueva generación de CPUs para ver una protección real contra la vulnerabilidad.

Tal como se esperaba, Intel y AMD van a lanzar actualizaciones para brindar protección contra Spectre, por lo que hay que esperar a que se libere un nuevo ciclo de CPUs completo. En el lado negativo, es probable que estas actualizaciones afecte el desempeño a través de una gama mucho más amplia de aplicaciones que los parches para Meltdown que se relacionan con la manera en que operan las CPUs a un nivel muy fundamental.

RECOMENDACIONES

Forcepoint Security Labs sigue recomendando apegarse a una política de parcheo robusta: si bien hay implicaciones de desempeño conocidas que se asocian a algunos de los parches proporcionados por los proveedores, la mayoría de las organizaciones está dispuesta a acelerar este impacto para su tranquilidad.

De igual forma, hay que tener en mente que los parches de los proveedores de software (como Microsoft, Apple y distribuciones de Linux) y de hardware (como Intel, AMD, proveedores de SAN, tarjetas madre, etc.) podrían tener que aplicarse para lograr la máxima cobertura contra estas explotaciones.

Los clientes de Forcepoint deben consultar el artículo de la Knowledge Base, disponible en https://support.forcepoint.com/KBArticle?id=000014933, ahí podrán obtener asesoría alrededor de la mitigación y aplicación de proyectos para todos los productos de Forcepoint.

CONCLUSIÓN

Como se indicó en otra de nuestras publicaciones, las vulnerabilidades al nivel de la CPU (como Kernel-Spectre y Meltdown) son relativamente difíciles de explotar y requieren tener acceso a la máquina objetivo con autorización para ejecutar el código antes de explotar la vulnerabilidad. Esto reduce considerablemente el número de objetivos contra los cuales se podría querer usar las vulnerabilidades: típicamente, si usted tiene acceso a una máquina, ya ha ‘ganado’ y no tiene necesidad de algo tan complicado técnicamente como Meltdown o Spectre.

Por el contrario, las situaciones en las que uno podría querer usar las técnicas giran alrededor de leer datos en el sistema host desde el interior de una máquina virtual. Aunque estas son vulnerabilidades técnicamente importantes, los escenarios bajo los cuales podrían ser genuinamente útiles para un delincuente son limitados.