Foreshadow, también conocido como L1 Terminal Fault. Es otro problema con la ejecución especulativa en los procesadores de Intel. Permite que el software malintencionado penetre en áreas seguras que incluso las fallas de Specter y Meltdown no pudieron resolver.
¿Qué es Foreshadow?
Específicamente, Foreshadow ataca la característica de Intel Software Extensions (SGX). Esto está integrado en los chips de Intel para permitir que los programas creen «enclaves» seguros a los que no se puedes acceder. Incluso con otros programas en la computadora. Además, si el malware estuviera en la computadora, no podrías acceder al enclave seguro. Cuando se anunciaron Specter y Meltdown. Los investigadores de seguridad encontraron que la memoria protegida con SGX era en su mayoría inmune a los ataques de Specter y Meltdown.
También hay dos ataques relacionados, que los investigadores de seguridad llaman «Foreshadow – Next Generation» o Foreshadow-NG. Estos permiten el acceso a la información en el Modo de administración del sistema (SMM). El kernel del sistema operativo o un hipervisor de máquina virtual. En teoría, el código que se ejecuta en una máquina virtual en un sistema podría leer la información almacenada en otra máquina virtual en el sistema. Aunque se supone que esas máquinas virtuales están completamente aisladas.
Foreshadow y Foreshadow-NG, como Specter y Meltdown. Usan fallas en la ejecución especulativa. Los procesadores modernos adivinan el código que creen que podría ejecutarse a continuación y lo ejecutan de manera preventiva para ahorrar tiempo. Si un programa intenta ejecutar el código, excelente: ya se ha hecho y el procesador conoce los resultados. Si no, el procesador puede tirar los resultados.
Otras peculiaridades de Foreshadow
Sin embargo, esta ejecución especulativa deja atrás alguna información. Por ejemplo, según el tiempo que tarda un proceso de ejecución especulativa en realizar ciertos tipos de solicitudes. Los programas pueden inferir qué datos se encuentran en un área de la memoria. Incluso si no pueden acceder a esa área de la memoria. Debido a que los programas maliciosos pueden usar estas técnicas para leer la memoria protegida. Además podrían acceder a los datos almacenados en el caché L1. Esta es la memoria de bajo nivel en la CPU donde se almacenan las claves criptográficas seguras. Es por eso que estos ataques también se conocen como «Falla de terminal L1» o L1TF.
Para aprovechar Foreshadow, el atacante solo necesita poder ejecutar códigos en su computadora. El código no requiere permisos especiales; podría ser un programa de usuario estándar sin acceso al sistema de bajo nivel. O incluso un software que se ejecuta dentro de una máquina virtual.
Desde el anuncio de Spectre y Meltdown, hemos visto un flujo constante de ataques que abusan de la funcionalidad de ejecución especulativa. Por ejemplo, el bypass de tienda especulativa (SSB) afectó a los procesadores de Intel y AMD. Así como a algunos procesadores ARM. Esto fue anunciado en mayo de 2018.
¿Se está usando Foreshadow?
Foreshadow fue descubierto por investigadores de seguridad. Estos investigadores tienen una prueba de concepto, en otras palabras, un ataque funcional, pero no lo están lanzando en este momento. Esto le da a todos tiempo para crear, lanzar y aplicar parches para protegerse contra el ataque.
¿Cómo puedes proteger tu PC?
Ten en cuenta que solo las PC con chips de Intel son vulnerables a Foreshadow en primer lugar. Los chips de AMD no son vulnerables a esta falla.
La mayoría de los ordenadores con Windows solo necesitan actualizaciones del sistema operativo para protegerse de Foreshadow, según el aviso de seguridad oficial de Microsoft. Simplemente ejecuta Windows Update para instalar los últimos parches. Microsoft dice que no ha notado ninguna pérdida de rendimiento al instalar estos parches.
Algunos ordenadores también pueden necesitar un nuevo microcódigo de Intel para protegerse. Intel dice que estas son las mismas actualizaciones de microcódigo que se lanzaron a principios de este año. Puedes obtener un nuevo firmware, si está disponible para tu ordenador, al instalar las últimas actualizaciones de UEFI o BIOS de tu PC o fabricante de la placa base. También puedes instalar actualizaciones de microcódigo directamente desde Microsoft.
Lo que los administradores de sistemas necesitan saber
Las PC que ejecuten software de hipervisor para máquinas virtuales (por ejemplo, Hyper-V ) también necesitarán actualizaciones de ese software de hipervisor. Por ejemplo, además de una actualización de Microsoft para Hyper-V, VMWare ha lanzado una actualización para su software de máquina virtual.
Los sistemas que utilizan Hyper-V o la seguridad basada en la virtualización pueden necesitar cambios más drásticos. Esto incluye la desactivación de los subprocesos, lo que ralentizará la computadora. La mayoría de las personas no tendrán que hacer esto, pero los administradores de Windows Server que ejecutan Hyper-V en las CPU de Intel deberán considerar seriamente la posibilidad de deshabilitar el subproceso en la BIOS del sistema para mantener a salvo sus máquinas virtuales.
Los proveedores de nube como Microsoft Azure y Amazon Web Services también están parcheando sus sistemas para proteger las máquinas virtuales en sistemas compartidos contra ataques.
Los parches también pueden ser necesarios para otros sistemas operativos. Por ejemplo, Ubuntu ha lanzado actualizaciones del kernel de Linux para protegerse contra estos ataques. Apple aún no ha comentado sobre este ataque.
Específicamente, los números CVE que identifican estas fallas son CVE-2018-3615 para el ataque a Intel SGX, CVE-2018-3620 para el ataque al sistema operativo y el Modo de administración del sistema, y CVE-2018-3646 para el ataque a la gestor de máquina virtual.
En una publicación del blog, Intel dijo que está trabajando en mejores soluciones para mejorar el rendimiento al tiempo que bloquea los ataques basados en L1TF. Esta solución aplicará la protección solo cuando sea necesario, mejorando el rendimiento. Intel dice que ya ha proporcionado microcódigo de CPU de versión preliminar con esta función a algunos socios y está evaluando su lanzamiento.
Finalmente, Intel señala que «L1TF también se resuelve con los cambios que estamos realizando a nivel de hardware». En otras palabras, las futuras CPU de Intel contendrán mejoras de hardware para proteger mejor contra Specter, Meltdown, Foreshadow y otros ataques especulativos basados en la ejecución con menos pérdida de rendimiento.
¿Tienes alguna pregunta o problema relacionado con el tema del artículo? Queremos ayudarte.
Deja un comentario con tu problema o pregunta. Leemos y respondemos todos los comentarios, aunque a veces podamos tardar un poco debido al volumen que recibimos. Además, si tu consulta inspira la escritura de un artículo, te notificaremos por email cuando lo publiquemos.
*Moderamos los comentarios para evitar spam.
¡Gracias por enriquecer nuestra comunidad con tu participación!