Investigadores revelan ocho nuevas vulnerabilidades de Spectre en chips de CPU

Share this…

Las compañías dedicadas a la fabricación de chips de CPU se enfrentan a una nueva oleada de vulnerabilidades de ejecución especulativa de Spectre, las cuales podrían ser reveladas durante esta semana, informo una compañía de tecnología alemana.

De acuerdo con el grupo de expertos en seguridad informática, se ha confirmado que los ocho defectos afectan a las CPU fabricadas por Intel Corporation, y de igual manera podrían afectar a los chips de ARM y AMD. Los expertos comentaron que Intel planea lanzar parches en dos fases: la primera en mayo y la segunda en agosto.

spectre

“Proteger los datos de nuestros clientes y garantizar la seguridad de nuestros productos son prioridades fundamentales. Trabajamos en colaboración con clientes, socios, otros fabricantes e investigadores para comprender y mitigar cualquier problema que se identifique, y parte de este proceso implica reservar bloques de los números de CVE “, dijo Leslie Culbertson, EVP y gerente general de seguridad de productos en Intel, en un comunicado de prensa que aborda los nuevos hallazgos. “Creemos en el valor de la divulgación coordinada y compartiremos detalles adicionales sobre cualquier posible problema a medida que finalicemos las mitigaciones. Seguimos alentando a todos a mantener sus sistemas actualizados”.

Estas vulnerabilidades, a las que se han referido como Spectre Next Generation (Spectre-NG), son similares a las vulnerabilidades anteriores; cuando no están parcheadas, pueden ser explotadas para robar información a través de un ataque de canal lateral que usa una aplicación de bajo privilegio para leer la memoria de otra aplicación más segura.

Profesionales en seguridad informática comentaron que uno de los errores parece ser significativamente más peligroso que sus predecesores, los atacantes pueden explotarlo para atacar una máquina virtual, y usarlo como un punto de partida para atacar posteriormente su sistema host, o las máquinas virtuales de otros clientes que operan en el mismo servidor. Los proveedores de servicios basados ​​en la nube, los sistemas host y los servidores están especialmente amenazados y las Extensiones de Guardia de Software (SGX) de Intel no protegerán a los sistemas en la nube del peligro, comentaron expertos.

“Suponiendo que prueben ser legítimos, el grupo de vulnerabilidades Spectre-NG puede plantear riesgos significativamente más altos para los operadores de la nube y los entornos de múltiples inquilinos que las variantes originales de Spectre”, dijo el jefe de arquitectura de seguridad en Juniper Networks, Craig Dods en un correo electrónico “La información proporcionada al sitio tecnológico alemán … parece implicar que algunas de las ocho nuevas vulnerabilidades facilitan los mecanismos de escape de VM, permite comprometer al hipervisor y / o a otros inquilinos de su propia máquina virtual”.

En marzo y abril, Intel anunció medidas para rediseñar y asegurar sus chips, según investigadores, se han clasificado cuatro de los errores como de alto riesgo, y los cuatro restantes se consideran de riesgo medio.

Varios equipos de investigadores participaron en el informe de los nuevos errores a Intel, incluido Google Project Zero, que sigue una política de divulgación pública de 90 días para las vulnerabilidades descubiertas. Basado en esta línea, Google podría revelar detalles sobre una de las vulnerabilidades esta semana. Project Zero, junto con otros grupos de investigadores independientes y académicos, revelaron el conjunto anterior de vulnerabilidades de Spectre y Meltdown en enero de este año.

De acuerdo con investigadores de seguridad informática, Microsoft está desarrollando parches que se distribuirán en forma de actualizaciones de Windows, a diferencia de las actualizaciones de microcódigos.

“Es casi inevitable que surjan nuevas variantes de Spectre”, dijo Satya Gupta, CTO y cofundador de Virsec. “Ahora que las vulnerabilidades de la ejecución especulativa se han publicitado, muchos grupos de piratería financiados están compitiendo para encontrar nuevas formas de explotarlos. Son ataques avanzados que explotan fallas pequeñas pero repetibles que saltan importantes controles de seguridad en millones de procesadores Si bien no todas las aplicaciones serán vulnerables y algunos controles de compensación serán efectivos, los atacantes buscarán grietas en otras defensas que permitan la explotación de Spectre “, agrego.