¡Feliz Año Nuevo! El miércoles (3 de enero) se revelaron tres fallas de seguridad masivas en Intel, AMD, ARM y otros procesadores. Microsoft emitió un parche de emergencia para todas las versiones compatibles de Windows, incluidos Windows 7, Windows 8.1 y Windows 10, pero agregó que los usuarios también deben aplicar actualizaciones de firmware cuando estén disponibles de los fabricantes de dispositivos. Google corrigió la falla en Android con la actualización de enero de 2022-2023 a 2022, emitida el martes (2 de enero), aunque solo los dispositivos administrados por Google la tienen por ahora. Es posible que los parches para macOS, iOS y Linux aún no estén completamente disponibles.
Dos ataques de prueba de concepto, denominados "Meltdown" y "Spectre", explotan estos tres defectos, que se refieren a la forma en que los procesadores informáticos modernos manejan la memoria en ejecución de las aplicaciones y el sistema central, o kernel, en los sistemas operativos actuales.
"Meltdown y Spectre funcionan en computadoras personales, dispositivos móviles y en la nube", dicen los sitios web dedicados a cada defecto, que tienen contenido idéntico. "Dependiendo de la infraestructura del proveedor de la nube, podría ser posible robar datos de otros clientes".
Una publicación de blog de Google explicó que las fallas hicieron posible que "una parte no autorizada pueda leer información confidencial en la memoria del sistema, como contraseñas, claves de cifrado o información confidencial abierta en las aplicaciones".
Meltdown borra los límites entre los procesos del kernel y los procesos del usuario y parece estar confinado a los chips Intel. Spectre roba datos de aplicaciones en ejecución y también funciona en chips AMD y ARM. Los sitios web de Spectre y Meltdown no detallaron cómo se vieron afectados los diversos conjuntos de chips utilizados en los dispositivos móviles.
AMD, sin embargo, negó que se viera afectado por alguna de las fallas.
"AMD no es susceptible a las tres variantes", dijo la compañía a CNBC. "Debido a las diferencias en la arquitectura de AMD, creemos que existe un riesgo casi nulo para los procesadores AMD en este momento".
Qué hacer
Si usa Windows 7, 8.1 o 10, debe aplicar la actualización de seguridad de Windows publicada hoy. Las primeras versiones de los parches se enviaron a los usuarios de Windows Insider en noviembre y diciembre.
"Estamos en el proceso de implementar mitigaciones para los servicios en la nube y estamos lanzando actualizaciones de seguridad hoy para proteger a los clientes de Windows contra las vulnerabilidades que afectan los chips de hardware compatibles de AMD, ARM e Intel", dijo en parte una declaración de Microsoft que nos entregó. "No hemos recibido ninguna información que indique que estas vulnerabilidades se hayan utilizado para atacar a nuestros clientes".
Sin embargo, hay algunas trampas. Primero, a menos que esté ejecutando una computadora portátil o tableta aprovisionada por Microsoft, como Surface, Surface Pro o Surface Book, también tendrá que aplicar una actualización de firmware del fabricante de su computadora.
"Los clientes que solo instalen las actualizaciones de seguridad de Windows de enero de 2022-2023 a 2022 no recibirán el beneficio de todas las protecciones conocidas contra las vulnerabilidades", dijo un documento de soporte de Microsoft publicado en línea. "Además de instalar las actualizaciones de seguridad de enero, se requiere una actualización de microcódigo o firmware de procesador. Esto debería estar disponible a través del fabricante de su dispositivo. Los clientes de Surface recibirán una actualización de microcódigo a través de la actualización de Windows".
En segundo lugar, Microsoft insiste en que los clientes se aseguren de tener un software antivirus "compatible" en ejecución antes de aplicar el parche. En un documento separado que explica el nuevo parche de seguridad, Microsoft dice que solo las máquinas que ejecutan dicho software obtendrán el parche automáticamente.
No está claro exactamente qué quiere decir Microsoft con software antivirus "compatible", o por qué Microsoft insiste en que dicho software debería estar en la máquina antes de que se aplique el parche. Hay un enlace a un documento que se supone que explica todo esto, pero al momento de escribir esto el miércoles por la noche, el enlace no llegó a ninguna parte.
Por último, Microsoft admite que existen "impactos potenciales en el rendimiento" asociados con los parches. En otras palabras, después de aplicar los parches, es posible que su máquina funcione más lentamente.
"Para la mayoría de los dispositivos de consumo, el impacto puede no ser notable", afirma el aviso. "Sin embargo, el impacto específico varía según la generación de hardware y la implementación por parte del fabricante del chip".
Para ejecutar Windows Update manualmente, haga clic en el botón Inicio, haga clic en el icono de engranaje de Configuración, haga clic en Actualizaciones y seguridad y haga clic en Buscar actualizaciones.
Los usuarios de Apple deben instalar futuras actualizaciones haciendo clic en el icono de Apple, seleccionando App Store, haciendo clic en Actualizaciones y haciendo clic en Actualizar junto a cualquier elemento de Apple. Hubo un informe no confirmado en Twitter de que Apple ya había reparado las fallas con macOS 10.13.2 a principios de diciembre, pero los números de identificación de vulnerabilidad (CVE) cubiertos en los parches de Apple de diciembre no coinciden con los asignados a Meltdown y Spectre.
Las máquinas Linux también requerirán parches, y parece que algo puede estar casi listo. Como se mencionó anteriormente, el parche de seguridad de Android de enero de2022-2023 corrige la falla, aunque solo un pequeño porcentaje de dispositivos Android lo recibirá por ahora. (No está claro cuántos dispositivos Android son susceptibles).
Cómo funcionan los ataques
El ataque Meltdown, que hasta donde saben los investigadores afecta solo a los chips Intel desarrollados desde 1995 (excepto la línea Itanium y la línea Atom anterior a 2013), permite que los programas regulares accedan a la información del sistema que se supone debe estar protegida. Esa información se almacena en el kernel, el centro profundamente hundido del sistema al que las operaciones del usuario nunca deben acercarse.
"Meltdown rompe el aislamiento más fundamental entre las aplicaciones de usuario y el sistema operativo", explicaron los sitios web de Meltdown y Spectre. "Este ataque permite que un programa acceda a la memoria y, por tanto, también a los secretos de otros programas y del sistema operativo".
"Si su computadora tiene un procesador vulnerable y ejecuta un sistema operativo sin parches, no es seguro trabajar con información confidencial sin la posibilidad de filtrar la información".
Meltdown fue nombrado como tal porque "básicamente derrite los límites de seguridad que normalmente son impuestos por el hardware".
Para corregir la falla asociada, la memoria del kernel debería estar aún más aislada de los procesos del usuario, pero hay un problema. Parece que la falla existe en parte porque el intercambio de memoria entre el kernel y los procesos del usuario permite que los sistemas se ejecuten más rápidamente, y detener ese intercambio podría disminuir el rendimiento de la CPU.
Algunos informes dijeron que las correcciones podrían ralentizar los sistemas hasta en un 30 por ciento. Nuestros colegas de Tom's Hardware piensan que el impacto en el rendimiento del sistema sería mucho menor.
Spectre, por otro lado, es universal y "rompe el aislamiento entre diferentes aplicaciones", dijeron los sitios web. "Permite a un atacante engañar a los programas libres de errores, que siguen las mejores prácticas, para que filtren sus secretos. De hecho, las comprobaciones de seguridad de dichas mejores prácticas aumentan la superficie de ataque y pueden hacer que las aplicaciones sean más susceptibles a Spectre".
"Todos los procesadores modernos capaces de mantener muchas instrucciones en vuelo son potencialmente vulnerables" a Spectre. "En particular, hemos verificado Spectre en procesadores Intel, AMD y ARM".
Los sitios continúan explicando que la detección de tales ataques sería casi imposible y que el software antivirus solo podría detectar el malware que ingresó al sistema antes de lanzar los ataques. Dicen que Spectre es más difícil de lograr que Meltdown, pero que no hay evidencia de que se hayan lanzado ataques similares "en la naturaleza".
Sin embargo, dijeron que Spectre, llamado así porque abusa de la ejecución especulativa, un proceso común de chipset, "nos perseguirá durante bastante tiempo".
El arte perdido de guardar un secreto
Google informó a Intel, AMD y ARM de estas fallas en junio de 2022-2023, y todas las partes involucradas trataron de mantenerlo en secreto hasta que los parches estuvieran listos la próxima semana. Pero los expertos en seguridad de la información que no estaban al tanto del secreto podrían decir que algo grande se avecinaba.
Las discusiones en los foros de desarrollo de Linux se referían a revisiones radicales del manejo del sistema operativo de la memoria del kernel, pero no se revelaron detalles. Personas con direcciones de correo electrónico de Microsoft, Amazon y Google estuvieron misteriosamente involucradas. De manera inusual, las revisiones debían ser adaptadas a varias versiones anteriores de Linux, lo que indica que se estaba solucionando un problema de seguridad importante.
Eso provocó un par de días de teorías de conspiración en Reddit y 4chan. El lunes (1 de enero), un bloguero que se hacía llamar Python Sweetness "conectó los puntos invisibles" en una larga publicación que detallaba varios desarrollos paralelos entre los desarrolladores de Windows y Linux con respecto al manejo de la memoria del kernel.
A última hora del martes (2 de enero). El Registro agregó mucha información similar. También señaló que Amazon Web Services realizaría mantenimiento y reiniciaría sus servidores en la nube el próximo viernes por la noche (5 de enero). y que Azure Cloud de Microsoft tenía algo similar planeado para el 10 de enero.
La presa se rompió el miércoles cuando un investigador de seguridad holandés tuiteó que había creado un error de prueba de concepto que parecía explotar al menos una de las fallas.
A las 3 pm. EST del miércoles, Intel, que había visto caer sus acciones alrededor del 10 por ciento en la negociación de ese día, emitió un comunicado de prensa que minimizó las fallas y, en consecuencia, sus acciones recuperaron algo de terreno. Pero la compañía admitió que las fallas podrían usarse para robar datos y que ella y otros fabricantes de chips estaban trabajando para solucionar el problema.
"Intel y otros proveedores habían planeado revelar este problema la próxima semana cuando haya más actualizaciones de software y firmware disponibles", se lee en el comunicado. "Sin embargo, Intel está haciendo esta declaración hoy debido a los informes de medios inexactos actuales".
A las 5 p.m., Daniel Gruss, un estudiante de posdoctorado en seguridad de la información en la Universidad Técnica de Graz en Austria, se adelantó para anunciar Meltdown y Spectre. Le dijo a Zack Whittaker de ZDNet que "casi todos los sistemas" basados en chips Intel desde 1995 se vieron afectados por las fallas. Resultó que el problema era aún peor.
Gruss fue uno de los siete investigadores de Graz que en octubre de 2022-2023 publicó un artículo técnico que detallaba fallas teóricas en la forma en que Linux manejaba la memoria del kernel y propuso una solución. Python Sweetness, el bloguero seudónimo al que se hace referencia al principio de esta historia, aparentemente tenía razón al suponer que ese documento era fundamental para la falla de Intel en la que se está trabajando ahora.
A las 6 pm. EST, los sitios de Spectre y Meltdown se lanzaron, junto con una publicación en el blog de Google que detalla la propia investigación de esa compañía. Resultó que dos equipos habían descubierto Meltdown de forma independiente, y tres equipos diferentes habían encontrado simultáneamente a Spectre. Project Zero de Google y el equipo de Gruss en Graz participaron en ambos.
Crédito de la imagen: Natascha Eidl / Dominio público
- 12 errores de seguridad informática que probablemente esté cometiendo
- La mejor protección antivirus para PC, Mac y Android
- La seguridad de su enrutador apesta: aquí le mostramos cómo solucionarlo