Hace un par de semanas se dieron a conocer las vulnerabilidades conocidas como Spectre y Meltdown, lo cual vino a alterar la tranquilidad después de las fiestas de fin de año. ¿Qué hemos aprendido desde entonces? Luke Somerville, responsable de Investigaciones Especiales de Forcepoint Security Labs, resume así lo acontecido hasta ahora:
Meltdown
La mayoría de los proveedores de sistemas operativos liberaron ya parches contra la vulnerabilidad Meltdown, aunque para algunos el nombre les resulta sorprendentemente apto: el parche tuvo algunos efectos bastante notables para algunos proveedores de servicio.
Por ejemplo, Microsoft detuvo la emisión de parches para ciertos sistemas basados en AMD y para otros que corren algunos paquetes antivirus ya que las máquinas no terminaron de arrancar.
Si bien los problemas con la ‘pantalla azul’ no se pudieron prever, sí se esperaban deficiencias en el desempeño antes del lanzamiento de los parches: los efectos de usar la separación ‘KAISER’ en el espacio de la dirección del usuario y del kernel en el rendimiento de las aplicaciones que necesitan hacer llamadas frecuentes a las funciones del kernel (por ejemplo, acceso a la red, acceso a disco, etc.) se entendieron bien en la comunidad técnica antes de que se lanzaran los parches.
Finalmente, los parches para Meltdown se han liberado y todos deberíamos ya poder dormir tranquilamente (suponiendo que han aplicado los parches según las instrucciones de los proveedores).
Spectre
El asunto de Spectre es mucho más complejo, y describe efectivamente un tipo de vulnerabilidades de sincronización en el canal lateral.
Se han identificado al menos dos vectores de ataque que utilizan Spectre a los que nos referiremos como browser-Spectre y kernel-Spectre.
Observando a browser-Spektre, no todos los navegadores han actualizado sus motores JavaScript para brindar protección contra éste (Chrome, por ejemplo, reporta que las mitigaciones se incluirán a partir de Chrome 64, programado para liberarse el 23 de enero de 2018). Por otro lado, si bien parece que varios navegadores son o fueron vulnerables, los investigadores no parecen haber tenido mucho éxito en usar la técnica para extraer información útil.
En tanto, Kernel-Spectre provocó en un principio más preocupación ya que no podía atenuarse con un parche para el sistema operativo, en efecto, hubo preocupaciones iniciales que pudieran haber tenido que esperar una nueva generación de CPUs para ver una protección real contra la vulnerabilidad.
Tal como se esperaba, Intel y AMD van a lanzar actualizaciones para brindar protección contra Spectre, por lo que hay que esperar a que se libere un nuevo ciclo de CPUs completo. En el lado negativo, es probable que estas actualizaciones afecten el desempeño a través de una gama mucho más amplia de aplicaciones que los parches para Meltdown que se relacionan con la manera en que operan las CPUs a un nivel muy fundamental.
Recomendaciones
De acuerdo con Somerville, Forcepoint Security Labs sigue recomendando apegarse a una política de parcheo robusta: si bien hay implicaciones de desempeño conocidas que se asocian a algunos de los parches proporcionados por los proveedores, la mayoría de las organizaciones está dispuesta a acelerar este impacto para su tranquilidad.
De igual forma, hay que tener en mente que los parches de los proveedores de software (como Microsoft, Apple y distribuciones de Linux) y de hardware (como Intel, AMD, proveedores de SAN, tarjetas madre, etc.) podrían tener que aplicarse para lograr la máxima cobertura contra estas explotaciones.
Conclusión
Las vulnerabilidades al nivel de la CPU (como Kernel-Spectre y Meltdown) son relativamente difíciles de explotar y requieren tener acceso a la máquina objetivo con autorización para ejecutar el código antes de explotar la vulnerabilidad. Esto reduce considerablemente el número de objetivos contra los cuales se podría querer usar las vulnerabilidades: típicamente, si usted tiene acceso a una máquina, ya ha ‘ganado’ y no tiene necesidad de algo tan complicado técnicamente como Meltdown o Spectre.
Por el contrario, las situaciones en las que uno podría querer usar las técnicas giran alrededor de leer datos en el sistema host desde el interior de una máquina virtual. Aunque estas son vulnerabilidades técnicamente importantes, los escenarios bajo los cuales podrían ser genuinamente útiles para un delincuente son limitados.
