Una vulnerabilidad en los chips x86 de Intel plantea preguntas sobre los supuestos subyacentes a los modelos de seguridad informática.
Procesadores Intel afectados:
- Familia Skylake ( Skylake, Cascade Lake, Cooper Lake, Amber Lake, Baby Lake, Coffee Lake, Whiskey Lake, Comet Lake )
- Familia Tiger Lake
- Familia Ice Lake ( Lago Ice, Lago Rocket )
La seguridad informática funciona con algunos principios básicos, y uno de ellos es que los datos en uso de una aplicación no deberían estar disponibles para otra sin permiso. En teoría, esta arquitectura básica debería evitar que una aplicación husmee en otra y robe, por ejemplo, una clave bancaria de un administrador de contraseñas. Cuando ese principio se rompe, puede ser devastador.
Desde al menos 2014, varias generaciones de CPU Intel han sido vulnerables a exactamente este tipo de fuga de datos, exponiendo miles de millones de chips a un ataque que se puede usar fácilmente para robar datos confidenciales, incluidas las claves de cifrado. Nueva investigación de Daniel Moghimi, experto en seguridad informática de la Universidad de California, San Diego y Google, que se presentará esta semana en la conferencia de ciberseguridad de Black Hat en Las Vegas, descubre que varias generaciones de procesadores x86 ubicuos de Intel confían en una técnica para aumentar el rendimiento que también introduce un vulnerabilidad — denominada caída — que desafía los supuestos básicos sobre la seguridad informática.
Para permitir el procesamiento paralelo de alta velocidad, la arquitectura x86 se basa en un pequeño búfer de registro “ ” para almacenar datos. Diferentes aplicaciones comparten este búfer, y cuando la CPU ejecuta un comando conocido como “ gather, ” puede leer los datos que deja otra aplicación en el registro y enviarlos a un atacante.
El hardware de la computadora debe aislar los datos utilizados por diferentes aplicaciones, pero al usar la vulnerabilidad Downfall, un atacante que ejecuta una aplicación puede robar fácilmente contraseñas, claves de cifrado y otros datos confidenciales de otra. En teoría, una pestaña maliciosa en su navegador podría usar esta falla para robar una contraseña bancaria de otra pestaña.
Anuncio
“ Cuando tiene una vulnerabilidad como esta, esencialmente este contrato de hardware de software está roto, y el software puede acceder a la memoria física dentro del hardware que se suponía que debía abstraerse del programa del usuario, dijo Moghimi “ Viola muchas suposiciones que hacemos en general sobre la seguridad del sistema operativo. ”
Las implicaciones de la falla son enormes. Intel probablemente ha vendido miles de millones de procesadores que incluyen la vulnerabilidad, que existe desde al menos 2014. La falla afecta tanto a las computadoras personales como a las de la nube, y es probable que la vulnerabilidad se pueda usar para romper el aislamiento que debería existir entre los datos que pertenecen a los usuarios en un dispositivo de computación en la nube.
Aunque el número exacto depende del proveedor, varias docenas de clientes pueden compartir cualquier máquina de computación en la nube. Un usuario malicioso podría usar Downfall para robar datos confidenciales, como credenciales administrativas, de otros usuarios en un dispositivo de computación en la nube y luego usar esas credenciales para obtener acceso adicional.
La seguridad en la nube se ejecuta bajo la premisa de que los datos que pertenecen a un usuario pueden aislarse de los datos que pertenecen a otro. La caída desafía profundamente esa suposición en un momento en que son preguntas crecientes sobre si la computación en la nube puede cumplir plenamente con sus beneficios de seguridad percibidos.
Un portavoz de Intel dijo que se descubrió la vulnerabilidad “ dentro de las condiciones controladas de un entorno de investigación ” y que el ataque “ sería muy complejo de lograr fuera de tales condiciones controladas. ”
Las generaciones recientes de procesadores Intel —, incluidos Alder Lake, Raptor Lake y Sapphire Rapids — no se ven afectadas, señaló el portavoz.
La caída es similar a las vulnerabilidades principales recientes de la CPU, como Derretimiento y espectro, y a medida que el hardware se vuelve más complejo, Moghini dice que se descubrirán más vulnerabilidades como Downfall, destacando la necesidad de que los diseñadores de chips equilibren las demandas de rendimiento con las necesidades de seguridad.
En su incesante búsqueda de la velocidad y para mantener vivo el espíritu de la Ley de Moore, los diseñadores de chips están recurriendo cada vez más a innovaciones de diseño para exprimir cada vez más el rendimiento de las fichas, y Downfall ilustra cómo la búsqueda de velocidad puede crear vulnerabilidades de seguridad.
“ Si bien el mecanismo es bastante diferente, esta técnica tiene ecos de Meltdown / Spectre en el sentido de que explota otra solución alternativa que Intel ha utilizado para acelerar los chips afectados, ” dijo Trey Herr, quien dirige la Iniciativa Cyber Statecraft del Consejo Atlántico. “ Muestra el desafío que Intel y otros han tenido tratando de amortiguar el golpe de la Ley de Moore llegando a su fin. ”
A medida que se hace cada vez más difícil exprimir más transistores en una pieza de silicio dada, los arquitectos de chips están recurriendo a trucos de diseño que optimizan la velocidad. La función “ gather ” en el corazón de Downfall es una de esas mejoras necesarias para la velocidad, y Moghini dijo que el potencial de tales diseños para mejorar el rendimiento para introducir vulnerabilidades de seguridad era una de las razones por las que decidió estudiar la función de recopilación.
“ Siempre que tenga una función de optimización en la CPU, siempre existe la posibilidad de que esas optimizaciones puedan introducir vulnerabilidades ” .
Moghimi descubrió por primera vez la falla en 2022 y se la informó a Intel, que rápidamente validó la vulnerabilidad y le pidió a Moghimi que cumpliera con un embargo de un año mientras la empresa solucionaba el problema. Con la investigación de Moghimi ahora pública, Intel está implementando una solución de microcódigo, que requerirá una actualización del sistema operativo para implementar y dará como resultado una penalización de rendimiento. Un portavoz de Intel dijo que la mayoría de las cargas de trabajo no verán una penalización por rendimiento debido a la solución, pero que las cargas de trabajo pesadas por vectorización pueden verse afectadas. ( La lista completa de procesadores afectados esta aqui.)
Sin embargo, la naturaleza de esa solución ilustra cómo Downfall explota el diseño arquitectónico básico de un chip para robar datos. “ La solución no puede resolver la causa raíz del problema, que es compartir hardware físico con otros procesos, ”
Un portavoz de Intel dijo que la empresa no tiene conocimiento de ninguna explotación salvaje de la falla, pero detectar la explotación de Downfall es muy difícil. Y dado que la falla ha existido desde 2014, es posible que haya sido explotada sin nuestro conocimiento. Eso es especialmente preocupante porque descubrir Downfall y crear exploits para ello fue bastante fácil.
“ Cuando descubrí esta vulnerabilidad, me tomó un par de semanas presentar ataques que funcionen, ” dijo Moghimi.
Moghimi dice que la vulnerabilidad es ideal para el robo de claves de cifrado y contraseñas, y como parte de su investigación, desarrolló métodos para robar trivialmente claves de cifrado AES de 128 y 256 bits usando Downfall.
“ Solo era un investigador de una sola persona sin ningún recurso, ” agregó. “ Puedes imaginar que si tienes un equipo de hackers de sombrero negro, probablemente puedas hacer mucho más con él.
Mitigaciones basadas en software
Eliminar el riesgo de ataques de caída / GDS requiere un rediseño de hardware, lo que tiene un costo que la industria aún no está lista para pagar.
Existen alternativas basadas en software, aunque estas vienen con advertencias y son soluciones temporales al problema. Moghimi propone cuatro de esas alternativas, tres de ellas con desventajas significativas:
Deshabilitar la subprocesamiento múltiple simultáneo ( SMT ) puede mitigar parcialmente los ataques GDS y GVI, pero la reducción de la subprocesamiento viene con una pérdida del rendimiento del 30% y aún se producen fugas en el cambio de contexto
Permitir instrucciones afectadas a través del sistema operativo y el compilador para evitar que filtren secretos para reunirse; la desventaja es que algunas aplicaciones podrían verse interrumpidas y la fuga aún ocurre si se pierden algunas instrucciones.
Deshabilitar reunir. El inconveniente aquí es que las aplicaciones que usan la instrucción podrían volverse lentas o incluso romperse.
Prevención del reenvío de datos transitorios después de reunirse instrucción ( agregar una cerca de carga, p. la lfence La instrucción ) puede mitigar la caída y es la solución que Intel adoptó con la última actualización de microcódigo.
Sin embargo, Moghimi advierte que sin eliminar la causa raíz del problema “, las pruebas automatizadas prácticamente pueden encontrar nuevas vulnerabilidades en las CPU. ”