Foreshadow y Foreshadow-NG son las nuevas vulnerabilidades que afectan a los procesadores Intel
Foreshadow ataca una característica de los procesadores Intel llamada Secure Guard Extensions (SGX), que están destinadas a ayudar a proteger los datos de un usuario en el procesador, incluso si todo el ordenador se encuentra controlado por un atacante
SGX crea una sección de memoria segura en el chip diseñado para almacenar datos confidenciales, uno que no puede ser leído directamente por código malicioso.
Aunque anteriormente se creía que SGX podía evitar los ataques de ejecución especulativa, como los derivados de Meltdown y Spectre, la vulnerabilidad de Foreshadow utiliza una técnica similar, pero puede obtener acceso a la memoria L1 protegida por SGX.
Foreshadow incluso es capaz de extraer la clave privada del objetivo, una clave criptográfica utilizada para las verificaciones de integridad de SGX.
Como la protección de privacidad integrada de SGX hace que sea difícil saber quién firmó el enclave, saber la clave de certificación puede permitir la creación de firmas de SGX que podrían parecer genuinas, pero no lo son. Como la clave está comprometida, esto significa que varias máquinas en el mismo ecosistema podrían verse comprometidas al mismo tiempo, en lugar de solo una.
Los ataques de ejecución especulativa se basan en la conjetura de funcionamiento del procesador sobre la operación que se le solicitará y su preparación. Esto se hace para ahorrar recursos, pero al mismo tiempo produce información que podría ser útil para que un atacante inserte sus propias instrucciones y, a su vez, obtenga el control del sistema.
También se han descubierto dos variantes similares, denominadas Foreshadow-NG, que también ataca el código SMM, los sistemas operativos, el software hipervisor y otros microprocesadores.
Según los investigadores, esto podría afectar las máquinas virtuales en servicios en la nube, incluido el uso de una máquina virtual invitada maliciosa que lee la memoria del hipervisor o incluso la memoria que pertenece a otra máquina virtual.
Investigadores de KU Leuven descubrieron inicialmente la vulnerabilidad, independientemente de la investigación de Meltdown y Spectre, y el equipo notificó a Intel el 3 de enero de 2018. Otros investigadores de Technion, la Universidad de Michigan, la Universidad de Adelaida y Data61 de CSIRO también encontraron el problema por separado, alertando a Intel sobre su investigación el 23 de enero.
Los investigadores dicen que los ataques de Foreshadow se pueden realizar contra todos los procesadores Skylake y Kaby Lake, debido a las familias de chips que usan SGX. Hay pocos rastros en los registros después de un ataque, que también se pueden iniciar en el "espacio de usuario", es decir, que un atacante no requiere un acceso profundo al sistema para poder realizar el ataque.
Aunque potencialmente peligrosos, los equipos de investigación también señalan que es poco probable que la mayoría de los usuarios sean golpeados por Foreshadow, debido a los desafíos técnicos que son necesarios para realizar el ataque, y el número relativamente limitado de ordenadores de escritorio que ejecutan procesadores habilitados para SGX.
Es más probable que los atacantes prefieran otras rutas de ataque, incluida la distribución de malware y los intentos de phishing, en comparación con el nuevo descubrimiento.
Vídeos Explicativos
Demo del ataque
Parches disponibles. Sin perdidad se rendimiento
Según Intel, la aplicación de las actualizaciones de microcódigo de Intel y los parches del sistema operativo para las vulnerabilidades CVE-2018-3615, CVE-2018-3620 y CVE-2018-3646 debería mitigar los ataques L1TF/Foreshadow por completo.
Intel también dijo que a diferencia del caso de Spectre, donde las actualizaciones tomaron un gran mordisco del rendimiento de las CPU Intel "no se ha observado un impacto significativo en el rendimiento como resultado de las mitigaciones [L1TF] aplicadas".
Intel ha publicado en una publicación en su blog sobre L1TF/Foreshadow, una página de preguntas frecuentes y una página de orientación de seguridad.
La lista de CPU afectadas está disponible en el aviso de seguridad oficial de Intel.
Microsoft, Oracle y Red Hat también publicaron publicaciones en blogs sobre las vulnerabilidades de L1TF/Foreshadow, junto con información sobre parches.