Los equipos de seguridad de Intel anunciaron la detección de dos vulnerabilidades críticas en una amplia variedad de productos y cuya explotación permitiría a los actores de amenazas realizar ataques de escaladas de privilegios en los dispositivos afectados. Identificadas como CVE-2021-0157 y CVE-2021-0158, las fallas recibieron un puntaje de 8.2/10 acorde al Common Vulnerability Scoring System (CVSS).
En el reporte, la primera vulnerabilidad fue descrita como una gestión insuficiente del flujo de control en el firmware del BIOS para algunos procesadores Intel, mientras que la segunda falla se basa en la validación de entrada incorrecta en el mismo componente. Los reportes fueron presentados por la firma de seguridad SentinelOne.
Aunque las fallas de escalada de privilegios podrían poner en riesgo los sistemas expuestos a esta falla, un ataque exitoso requeriría acceso local al sistema afectado. A continuación se presenta un listado de los productos afectados:
- Procesadores Intel Xeon
- Procesadores Intel Xeon E3 v6
- Procesadores Intel Xeon W
- Procesadores escalables Intel Xeon de tercera generación
- Procesadores Intel Core de 11.a generación
- Procesadores Intel Core de décima generación
- Procesadores Intel Core de séptima generación
- Procesadores Intel Core serie X
- Procesador Intel Celeron serie N
- Procesadores Intel Pentium Silver
Si bien Intel no ha compartido detalles adicionales sobre la explotación de la falla, la compañía recomienda a los administradores de implementaciones afectadas actualizar a la brevedad. El proceso de actualización podría resultar problemático debido a que los proveedores de placas base no lanzan actualizaciones de BIOS con frecuencia y no brindan soporte a sus productos con actualizaciones de seguridad durante mucho tiempo.
Teniendo en cuenta que los procesadores Intel Core de séptima generación fueron lanzados en 2015, es dudoso que los proveedores sigan lanzando actualizaciones de BIOS de seguridad para ellos, por lo que algunos usuarios se quedarán sin una forma práctica de corregir los defectos anteriores y tendrán que recurrir a una solución alternativa.
Además de estos reportes, Intel abordó una vulnerabilidad de escalada de privilegios identificada como CVE-2021-0146 y con un puntaje CVSS de 7.2/10. Según el reporte, los productos afectados permiten la activación de la lógica de prueba o depuración en tiempo de ejecución para algunos procesadores Intel, permitiendo que un usuario no autenticado habilite el error con previo acceso físico.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad