Los expertos en seguridad de la información han descubierto una nueva vulnerabilidad en los chips Intel que pueden usarse para robar información confidencial directamente desde el procesador. Los investigadores lo llamaron "ZombieLoad". ZombieLoad es un ataque en paralelo dirigido a chips Intel que permite a los piratas informáticos explotar eficazmente una falla en su arquitectura para obtener datos arbitrarios, pero no les permite inyectar ni ejecutar código malicioso arbitrario, usándolo así como la única herramienta para La intrusión y la piratería informática en ordenadores remotos no son posibles.
Según Intel, ZombieLoad consta de cuatro errores en el microcódigo de sus chips, que los investigadores informaron a la empresa hace apenas un mes. Casi todas las computadoras con chips Intel lanzadas desde 2011 son vulnerables a esta vulnerabilidad. Los chips ARM y AMD no se ven afectados por esta vulnerabilidad.
ZombieLoad recuerda a Meltdown y Spectre, que fueron sensacionales en el pasado, que explotaron un error en el sistema de ejecución de comandos especulativos (avanzados). La ejecución especulativa ayuda a los procesadores a predecir hasta cierto punto lo que una aplicación o sistema operativo podría necesitar en un futuro próximo, haciendo que la aplicación se ejecute de forma más rápida y eficiente. El procesador devolverá los resultados de sus predicciones si son correctas o restablecerá los resultados de la ejecución si la predicción es falsa. Tanto Meltdown como Spectre aprovechan la capacidad de abusar de esta característica para obtener acceso directo a la información que maneja el procesador.
ZombieLoad se traduce como "carga zombi", lo que explica en parte el mecanismo de la vulnerabilidad. Durante el ataque, el procesador recibe más datos de los que puede manejar adecuadamente, lo que hace que el procesador solicite ayuda del microcódigo para evitar una falla. Normalmente, las aplicaciones sólo pueden ver sus propios datos, pero un error causado por una sobrecarga de la CPU le permite evitar esta limitación. Los investigadores afirmaron que ZombieLoad puede obtener cualquier dato utilizado por los núcleos del procesador. Intel dice que la corrección del microcódigo ayudará a limpiar los buffers del procesador cuando esté sobrecargado, evitando que las aplicaciones lean datos que no estaban destinados a leer.
En una demostración en vídeo de cómo funciona la vulnerabilidad, los investigadores demostraron que se puede utilizar para saber qué sitios web está visitando una persona en tiempo real, pero también se puede utilizar con la misma facilidad para obtener, por ejemplo, las contraseñas o los tokens de acceso utilizados. por los usuarios para transacciones de pago.
Al igual que Meltdown y Spectre, ZombieLoad afecta no sólo a PC y portátiles, sino también a servidores en la nube. La vulnerabilidad se puede explotar en máquinas virtuales que deben estar aisladas de otros sistemas virtuales y sus dispositivos host para evitar potencialmente este aislamiento. Así, Daniel Gruss, uno de los investigadores que descubrió la vulnerabilidad, afirma que puede leer datos de los procesadores del servidor de la misma forma que en los ordenadores personales. Este es un problema potencialmente grave en entornos de nube donde las máquinas virtuales de diferentes clientes se ejecutan en el mismo hardware de servidor. Aunque los ataques con ZombieLoad nunca se han informado públicamente, los investigadores no pueden descartar que hayan podido ocurrir, ya que el robo de datos no siempre deja rastros.
¿Qué significa esto para el usuario medio? No hay necesidad de entrar en pánico. Esto está lejos de ser un exploit o una vulnerabilidad de día cero donde un atacante puede apoderarse de su computadora en un instante. Gruss explica que ZombieLoad es "más fácil que Spectre" pero "más difícil que Meltdown", los cuales requieren un cierto conjunto de habilidades y esfuerzo para usarlos ofensivamente. De hecho, para realizar un ataque usando ZombieLoad, de alguna manera debes descargar la aplicación infectada y ejecutarla tú mismo, luego la vulnerabilidad ayudará al atacante a descargar todos tus datos. Sin embargo, existen formas mucho más sencillas de piratear una computadora y robarla.
Intel ya ha lanzado un microcódigo para parchear los procesadores afectados, incluidos los chips Intel Xeon, Intel Broadwell, Sandy Bridge, Skylake y Haswell, los chips Intel Kaby Lake, Coffee Lake, Whiskey Lake y Cascade Lake, así como todos los procesadores Atom y Knights. Otras grandes empresas también han publicado una solución para la vulnerabilidad por su parte. Apple, Microsoft y Google también han lanzado los parches correspondientes para sus navegadores.
En una entrevista con TechCrunch, Intel dijo que las actualizaciones del microcódigo del chip, al igual que los parches anteriores, afectarán el rendimiento del procesador. Un portavoz de Intel dijo que la mayoría de los dispositivos de consumo parcheados podrían sufrir una pérdida de rendimiento del 3% en el peor de los casos, con una pérdida de hasta el 9% para los centros de datos. Pero según Intel, es poco probable que esto se note en la mayoría de los escenarios.
Sin embargo, los ingenieros de Apple no están de acuerdo con Intel, que sobre el método de protección completa contra el "Muestreo de datos de microarquitectura" (nombre oficial ZombieLoad) afirman que para cerrar completamente la vulnerabilidad es necesario desactivar completamente la tecnología Intel Hyper-Threading en los procesadores, que, según las pruebas de los especialistas de Apple, puede reducir el rendimiento de los dispositivos de los usuarios en una serie de tareas en un 40%.
Ni Intel ni Daniel y su equipo han publicado el código que implementa la vulnerabilidad, por lo que no existe una amenaza directa e inmediata para el usuario promedio. Y los parches lanzados rápidamente lo eliminan por completo, pero dado que cada solución cuesta a los usuarios ciertas pérdidas en el rendimiento, surgen algunas preguntas para Intel.
Fuente: 3dnews.ru