¿Qué sistemas se ven afectados?
El ataque SWAPGS afecta a las CPU de Intel más modernas que utilizan la ejecución especulativa.
El ataque SWAPGS afecta a las CPU de Intel más modernas que utilizan la ejecución especulativa.
En busca de CPU cada vez más rápidas, los proveedores han implementado varias versiones de la ejecución especulativa.Esta funcionalidad hace que la CPU realice conjeturas sobre las instrucciones que pueden ser necesarias antes de determinar si estas son, en realidad, solicitadas.Esta ejecución especulativa puede dejar rastros en la caché que los atacantes aprovechan para filtrar la memoria privilegiada del kernel.
Este ataque aprovecha una combinación de la ejecución especulativa de una instrucción concreta (SWAPGS) por parte de Intel y el uso de esa instrucción por los sistemas operativos Windows dentro de lo que se conoce como un gadget.
Lo que hace que la investigación de estos ataques sea de vanguardia en comparación con los ataques informáticos contra vulnerabilidades más tradicionales es que llega a la raíz de cómo operan las CPU modernas.Para investigar adecuadamente, los equipos de estudio deben comprender a fondo los componentes internos de la CPU (predicción de saltos, ejecución fuera de orden, ejecución especulativa, canalización y cachés), los del sistema operativo (llamadas al sistema, manejo de interrupciones y excepciones y KPTI) y los ataques de canal lateral y de ejecución especulativa
Los sistemas Windows sin parchear que se ejecutan en hardware Intel de 64 bits son susceptibles de filtrar memoria del kernel sensible, incluso desde el modo de usuario.El ataque SWAPGS elude todas las técnicas de mitigación conocidas implementadas contra ataques anteriores de canal lateral sobre vulnerabilidades en la ejecución especulativa.
Abordar estas vulnerabilidades supone un gran desafío.Dado que anidan profundamente dentro de la estructura y el funcionamiento de las CPU modernas, eliminar por completo las vulnerabilidades implica reemplazar el hardware o inhabilitar la funcionalidad que mejora en gran medida el rendimiento.Asimismo, la creación de mecanismos de mitigación es muy compleja y puede obstaculizar las mejoras de rendimiento logradas por las características de ejecución especulativa.Por ejemplo, eliminar por completo la posibilidad de ataques de canal lateral contra la funcionalidad de ejecución especulativa de las CPU de Intel requeriría una desactivación completa del hyperthreading, lo que degradaría gravemente el rendimiento.
Desde la aparición de Meltdown y Spectre, los investigadores han analizado la función de ejecución especulativa de las CPU modernas, en particular los ataques de canal lateral dirigidos contra la característica centrada en el rendimiento de las CPU modernas.
Los investigadores de Bitdefender trabajaron con Intel durante más de un año antes de la divulgación de este nuevo ataque.Bitdefender también ha trabajado en estrecha colaboración con Microsoft, que desarrolló y publicó un parche.Asimismo, se han involucrado otros proveedores del ecosistema.
Bitdefender ha publicado un documento técnico para tratarlo en profundidad, el cual incluye un cronograma detallado de la divulgación y describe la investigación que ha habido detrás del ataque.Bitdefender también ha publicado artículo de blog que explican el ataque, así como un vídeo que lo muestra.
"Aunque es muy recomendable aplicar el parche de Microsoft, Bitdefender Hypervisor Introspection proporciona un control de compensación que evita el ataque".
Bitdefender ha demostrado que Hypervisor Introspection detiene el ataque al eliminar las condiciones necesarias para que tenga éxito en sistemas Windows sin parchear.Además, esta mitigación no ha supuesto una degradación notable del rendimiento.Si bien es muy recomendable aplicar el parche de Microsoft, Hypervisor Introspection proporciona un control de compensación eficaz hasta que los sistemas puedan parchearse.
Hypervisor Introspection analiza la memoria de las máquinas virtuales guest e identifica objetos de interés.Bitdefender mitigó esta vulnerabilidad, antes del lanzamiento de cualquier parche aplicable, instrumentando cada instrucción SWAPGS vulnerable para asegurarse de que no se ejecutase especulativamente, con el fin de evitar fugas de memoria del kernel.
A pesar de esforzarse al máximo, muchas organizaciones no consiguen implementar los parches online en el plazo de tiempo ideal.Hypervisor Introspection les ayuda a cerrar la brecha entre el lanzamiento y la implementación de parches para vulnerabilidades de seguridad graves.
Hypervisor Introspection es exclusivo de Bitdefender.Hoy en día, es compatible con Citrix Hypervisor, Xen y KVM como tecnología en fase previa.
Hypervisor Introspection aprovecha las ventajas inherentes a la posición de los hipervisores en relación con el hardware subyacente y los sistemas operativos virtualizados, incluidos Windows, Linux y máquinas virtuales de escritorio y servidor.Hypervisor Introspection inspecciona en tiempo real la memoria binaria de las máquinas virtuales que se están ejecutando.Busca indicios de técnicas de ataque basadas en la memoria utilizadas sistemáticamente para sacar partido de vulnerabilidades, tanto conocidas como desconocidas.
Hypervisor Introspection plasma una potente filosofía de seguridad exclusiva de Bitdefender.Los especialistas en investigación y desarrollo de Bitdefender trabajaron con Xen Project para extender la introspección de máquinas virtuales (VMI) en el hipervisor Xen.Citrix ha adoptado la funcionalidad de Citrix Hypervisor como API de inspección directa.Bitdefender también continúa trabajando con KVM y otras comunidades de código abierto, además de seguir investigando y desarrollando de cara a escenarios no virtualizados, como los sistemas integrados.
Otro ejemplo de alto perfil de la capacidad de Hypervisor Introspection se manifestó antes de la difusión de EternalBlue, que posteriormente se empleó en la ola de ransomware WannaCry.Sin conocimiento del ciberataque concreto o la vulnerabilidad subyacente, Hypervisor Introspection bloqueó el ataque, dado que aprovecha una técnica de ataque de desbordamiento de búfer.
Aunque utilizar los desbordamientos de búfer para aprovechar vulnerabilidades no es nada nuevo, la rápida adopción de EternalBlue por parte de los responsables de WannaCry demostró, una vez más, que frecuentemente las organizaciones no logran implementar los parches críticos a tiempo para prevenir ataques informáticos.Ya sea pensando en auténticas técnicas de ataque probadas, como los desbordamientos de búfer, el heap spray y la inyección de código, o en ataques altamente sofisticados que aprovechan vulnerabilidades en los niveles más profundos de la funcionalidad del hardware, está claro que las organizaciones deben tejer una nueva filosofía de seguridad, como Hypervisor Introspection, en su malla de seguridad.
Hypervisor Introspection demuestra que los proveedores de seguridad, hardware, virtualización y sistemas operativos pueden cooperar para generar nuevas y potentes soluciones de seguridad que frenen la marea de ataques altamente sofisticados.
El ataque SWAPGS aprovecha, mediante un ataque de canal lateral, un fallo en el régimen de ejecución especulativa de las CPU de Intel modernas.Este ataque pasa por alto los mecanismos de mitigación implementados para frustrar ataques anteriores.Dado que el ataque aprovecha la instrucción SWAPGS cuando se utiliza de forma especulativa, se recomienda aplicar parches en los sistemas operativos que puedan utilizar SWAPGS de forma especulativa.Según puso de manifiesto la investigación llevada a cabo por el equipo de Bitdefender que descubrió el ataque SWAPGS, los sistemas vulnerables conocidos se limitan a aquellos que alojan el sistema operativo Windows en CPU de Intel modernas capaces de utilizar la ejecución especulativa.Hasta que se puedan aplicar los parches, se recomienda encarecidamente trasladar las cargas de trabajo que se ejecutan en los sistemas operativos vulnerables a los hosts que ejecuten Bitdefender Hypervisor Introspection a través de Citrix Hypervisor o Xen.
En mayo de 2019, un artículo del blog de Bitdefender resumió la investigación sobre otro mecanismo de ataque de canal lateral basado en la ejecución especulativa.En ese momento, como se indica en el cronograma de divulgación del documento técnico, acordamos retrasar la publicación del documento técnico sobre la investigación en profundidad de los mecanismos de canal lateral para la ejecución especulativa descubiertos.La coautoría del documento técnico, titulado “Implicaciones de seguridad de la ejecución especulativa de instrucciones relacionadas con la segmentación en las CPU de Intel”, corresponde a los mismos dos investigadores que redactaron el documento técnico del ataque SWAPGS, y está disponible aquí.
R. Información sensible puede ser cualquier cosa que permita al atacante desarrollar un ataque.Por ejemplo, punteros o direcciones que podrían permitir al atacante realizar un escalamiento de privilegios.Un atacante también podría filtrar otra información confidencial, como contraseñas, claves de cifrado, tokens o credenciales de acceso, que pueden estar presentes en la memoria del kernel.
R. Si la información robada inicialmente permite que el delincuente informático desarrolle aún más un ataque (por ejemplo, un escalamiento de privilegios), sí, sería posible.
R. Afecta a todas las CPU de Intel que admiten las instrucciones SWAPGS y WRGSBASE.Esto significa básicamente cualquier cosa, desde Intel Ivy Bridge (lanzado en 2012) hasta la última serie de procesadores presentes en el mercado.
R. Cualquier dispositivo que ejecute un Intel Ivy Bridge o una CPU más moderna: equipos de escritorio, portátiles, servidores, etc.Esta vulnerabilidad afecta tanto a los usuarios domésticos como a los empresariales.
R. Esperamos que los dispositivos de Apple NO sean vulnerables, pero hay que aguardar a su declaración oficial al respecto una vez que se publique toda la información.