Desbordamiento de memoria en el kernel de Linux permite elevar privilegios

Una vulnerabilidad en el kernel Linux a la hora de comprobar parámetros introducidos por el usuario podría permitir a un atacante escalar privilegios.




El fallo, del cual se ha tenido constancia como en muchos otros casos, a través de los ‘commits al kernel, tiene asignado el CVE-2018-1068. Aún se desconoce completamente el alcance de una posible explotación, aunque tras un rápido vistazo al código de los parches podemos intuir que se trata de algo grave. Básicamente, a través de una llamada del sistema es posible proporcionar al kernel parámetros anómalos. Al no comprobarse su corrección en el lado del kernel terminarían por causar desbordamiento de memoria, y la posibilidad de escribir en memoria del kernel.

Específicamente, el error está relacionado con la estructura de datos ‘ebt_entry’ y los métodos que operan sobre ésta, que se encuentran en el fichero ‘net/bridge/netfilter/ebtables.c’. Al no validar los parámetros que vienen de la parte del usuario, los parámetros anómalos son procesados por código que no espera que sean incorrectos. La forma más simple de explotación es a través del uso de ebtables, una herramienta parecida a iptables pero orientada a la capa de enlace de red (lo que se suele implementar con Ethernet), usando reglas especialmente diseñadas. Esta utilidad hace uso de las llamadas del sistema vulnerables.

Reglas de ebtables
La vulnerabilidad ha sido clasificada como importante, ya que aunque por lo complejo de la explotación, no es necesario ser el usuario root, basta con tener privilegios de administrador en el namespace (espacio de nombres) user+network’. Esto es especialmente peligroso en un contexto de contenedores estilo Docker, ahora tan de moda. Desde un contenedor con privilegios restringidos pero siendo administrador del namespace mencionado sería posible salirse del contenedor y escalar privilegios al usuario root.
Carlos Ledesma
Más información:
 
CVE-2018-1068 kernel: Out-of-bounds write via userland offsets in ebt_entry struct in netfilter/ebtables.c
https://bugzilla.redhat.com/show_bug.cgi?id=1552048netfilter: ebtables: CONFIG_COMPAT: don’t trust userland offsets
https://github.com/torvalds/linux/commit/b71812168571fa55e44cdd0254471331b9c4c4c6

Actualización de seguridad para curl

curl es una librería y aplicación escrita en C para comunicaciones con diversos protocolos.

Se ha publicado una nueva versión de la librería y programa curl que corrige tres vulnerabilidades de diversa consideración.

El investigador Duy Phan Thanh, ha descubierto un fallo con el que se podría escribir un byte fuera de límites al procesar URL del protocolo FTP, con la configuración específica de solo emitir un único comando CWD, si la parte del directorio contiene una cadena “% 00 “. Esto podría causar una denegación de servicio y potencialmente la ejecución de código arbitrario.

Otro investigador, Dario Weisser, descubrió un fallo de desreferenciación de una dirección nula al obtener una URL del protocolo LDAP. Esto es debido a que la función ldap_get_attribute_ber () devuelve LDAP_SUCCESS y un puntero NULL. Esto podría causar que servidores que trabajen con URL del protocolo LDAP causen una finalización abrupta del proceso.

El último fallo, descubierto por Max Dymond, podría permitir una escritura fuera de límites en memoria del monticulo cuando se efectúan transferencias a través del protocolo RTSP. Este fallo permitiría causar una denegación de servicio y en algunos casos la revelación de información (zonas de memoria adyacentes al contexto de ejecución).

Los CVE son respectivamente: CVE-2018-1000120, CVE-2018-1000121 y CVE-2018-1000122

Se recomienda actualizar curl a través del sistema de paquetes en el caso de una distribución Linux o descargando la última versión publicada desde la página del fabricante. Dicha versión, libre de estos errores es la 7.58.0.
Más información:

Buffer overflow en Mikrotik RouterOS

SMB Buffer Overflow en Mikrotik RouterOS

Resultado de imagen de mikrotik

 

Información

Impacto: ejecución de código
Explotable remotamente: Si
Explotable localmente: No
CVE: CVE-2018-7445

Vulnerabilidad

La vulnerabilidad de encuentra en el procesamiento de inicio de sesión de NetBIOS. Los atacantes pueden ejecutar código en el sistema a través de esta vulnerbailidad. El desbordamiento del buffer se produce antes de que se realice la autenticación por lo que un atacante puede explotar esta vulnerabilidad sin necesidad de estar logueado en el sistema.

La función que se encarga de comprobar los nombres de NetBIOS recibe dos buffers como parámetros. El primer byte del buffer de origen se lee y se usa como el tamaño para la operación de copia. Luego se copia esa cantidad de bytes en el buffer de destino. Esta operación se ejecuta hasta que el tamaño para copiar es 0.

No se realiza ninguna validación para garantizar que los datos se ajusten al buffer destino lo que produce el desbordamiento de la pila. Por lo que se recomienda actualizar el sistema a la versión más actual.

Versiones Vulnerables

Todas las arquitecturas y equipos que ejecuten versiones anteriores a la 6.41.3/6.42rc27 de RouterOS

Créditos

La vulnerabilidad ha sido descubierta por Juan Caillava y Maximiliano Vidal de Core Security Consulting Services

 
Mikrotik RouterOS Download:
https://mikrotik.com/software

Reporte:

Cisco soluciona 23 vulnerabilidades en múltiples dispositivos

Cisco ha publicado 23 boletines de seguridad para solucionar otras tantas vulnerabilidades (tres de gravedad críticauna de gravedad alta y el resto de importancia media) en múltiples productos que podrían permitir la ejecución de código arbitrario, provocar denegaciones de servicio, realizar ataques de Cross-Site Scripting, inyectar comandos, acceder al dispositivo sin autorización entre otros ataques.

Los productos afectados son:

  • Cisco 550X Series Stackable Managed Switches SNMP
  • Cisco Data Center Network Manager
  • Cisco Identity Services Engine
  • Cisco IOS e IOS XE Software Cluster Management Protocol
  • Cisco Prime Collaboration Provisioning
  • Cisco Prime Data Center Network Manager
  • Cisco Registered Envelope Service
  • Cisco Secure Access Control Server
  • Cisco Secure Access Control System
  • Cisco Security Manager DesktopServlet
  • Cisco StarOS CLI
  • Cisco UCS Director
  • Cisco Videoscape AnyRes Live
  • Cisco Web Security Appliance

La primera vulnerabilidad considerada crítica afecta a Cisco Prime Collaboration Provisioning (PCP). Con CVE-2018-0141, una vez más, el uso de contraseñas estáticas por defecto podría permitir a un atacante local sin autenticar acceder al sistema y posteriormente conseguir permisos administrativos.

Con CVE-2018-0147, una vulnerabilidad en Cisco Secure Access Control System (ACS) podría permitir a un atacante remoto no autenticado ejecutar código arbitrario debido a un error a la hora de deserializar código Java.

La última vulnerabilidad crítica (CVE-2017-3881) permitiría también la ejecución remota de código arbitrario en Cisco Cluster Management Protocol (CMP) debido a errores a la hora de restringir y validar comandos Telnet específicos del protocolo CMP.

El primer problema considerado de gravedad alta afecta al software Cisco Web Security Appliance y permitiría a un atacante remoto acceder al servidor FTP sin conocer la contraseña, tan solo proporcionando un nombre de usuario válido.

Otros problemas de gravedad media son:

  • Revelación de información sensible mediante ataques de canal lateral a la CPU (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
  • Ataques de Cross-Site scripting en Cisco Videoscape AnyRes Live (CVE-2018-0220)
  • Ataques de Cross-Site scripting en Cisco UCS Director (CVE-2018-0219)
  • Inyección de comandos en Cisco StarOS CLI (CVE-2018-0224, CVE-2018-0217)
  • Cross-Site Scripting reflejado en Cisco Security Manager DesktopServlet (CVE-2018-0223)
  • Cross-Site Scripting en Cisco Registered Envelope Service (CVE-2018-0208)
  • Cross-Site Scripting en Cisco Prime Data Center Network Manager (CVE-2018-0144)
  • Inyección de comandos, CSRF, elevación de privilegios y denegación de servicio en Cisco Identity Services Engine (CVE-2018-0221, CVE-2018-0216, CVE-2018-0215, CVE-2018-0214, CVE-2018-0213, CVE-2018-0212, CVE-2018-0211)
  • CSRF en Cisco Data Center Network Manager (CVE-2018-0210)
  • Inyección de entidades XML externas en Cisco Secure Access Control Server (CVE-2018-0207)
  • Denegación de servicio en Cisco 550X Series Stackable Managed Switches (CVE-2018-0209)

Se recomienda consultar las alertas publicadas para obtener información sobre disponibilidad de parches y actualizaciones.

Más información:

Cisco Security Advisories and Alerts
https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&last_published=2018+Mar&sort=-day_sir&limit=50#~Vulnerabilities

CPU Side-Channel Information Disclosure Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180104-cpusidechannel

Una de espías: La revolución de las aguas turbias

Investigadores pertenecientes a la compañía de seguridad informática Trend Micro denuncian una campaña de espionaje informático muy similar a MuddyWater, una campaña previa de orígenes confusos

MuddyWater. Éste es el nombre con el que investigadores de seguridad informática bautizaron la campaña de espionaje informático que atacó principalmente a organizaciones de Oriente Medio y Asia. El nombre viene a significar “agua turbia” (“embarrada” quizás), que fue la forma que tuvieron aquellos investigadores de transmitir ya sólo con leer el nombre que la cosa no estaba muy clara. Desde principios de año, en Trend Micro han estado investigando otra campaña muy parecida a ésta, y se atreven a asumir que están relacionadas por sus múltiples parecidos.

Lo cierto es que es la misma película de siempre. Malware espía, correos que suplantan agencias gubernamentales dirigidos a otras organizaciones gubernamentales, industrias, telecos… Los autores saben lo que hacen, y dejan pistas falsas en los distintos ejecutables involucrados en el ataque, que confunden a los investigadores. Los sospechosos habituales de este tipo de ataques: organizaciones con fines políticos y respaldadas por estados. El objetivo: espionaje clásico puro y duro, como el de las películas en blanco y negro, pero con herramientas modernas.

Muddy Waters, el padre del Chicago blues, poniendo cara de chino

El parecido entre MuddyWater y la nueva campaña no termina en el modus operandi y las técnicas de ingeniería social usadas, sino que a nivel técnico usan básicamente las mismas herramientas y métodos de comunicación entre el servidor de control maligno y los infectados. Entre otros:

  • La cadena de ejecutables descargados y ejecutados es la misma (script en Visual Basic que ejecuta otro script en PowerShell)
  • Los métodos de ofuscación coinciden
  • Las variables internas se parecen
  • Una de las técnicas usadas contra análisis de malware es idéntica

Otro aspecto técnico que llama la atención es el uso de cientos de sitios vulnerados que son usados por este malware como proxies (servidores intermedios) para acceder al servidor de control maligno. Presumiblemente para dificultar el rastreo de las comunicaciones con el fin de hallar el origen de la amenaza.

También existen otros aspectos no técnicos que llaman la atención, como la utilización de frases en chino básicamente sacadas de Google Translator (a saber con qué objetivo), o el gran sentido del humor que se gastan los atacantes… En una de las peticiones que los investigadores realizaban al servidor de control maligno con el fin de obtener información, la respuesta que obtuvieron contenía el mensaje “Stop!!! I Kill You Researcher.“, al más puro estilo Achmed the Dead Terrorist.

De nuevo, nos quedamos sin saber quiénes son los responsables de otro ataque de espionaje. Estos chinos lo disimulan cada vez mejor…

Más información:
 

Vulnerabilidad en EXIM permitiría ejecución remota de código

La vulnerabilidad se encuentra presente desde la primera versión de EXIM y afectaría al menos a 400 mil servidores que ejecutan este servidor de correo

Un investigador de Devco.re (Meh Chang) reportó el día 5 de febrero el descubrimiento de esta vulnerabilidad en las listas de correo de seguridad de EXIM, identificándose al día siguiente con el CVE-2018-6789, y lanzándose una versión ya parcheada (4.90.1) el día 10 del mismo mes. Según el mismo sitio web de Exim, todas las versiones anteriores a dicha versión deben considerarse obsoletas.

Exim es uno de los servidores de correo electrónico de código abierto más populares, estando disponible tanto para sistemas tipo UNIX como para Windows. Desarrollado por la Universidad de Cambridge en 1995, es en la actualidad el MTA por defecto de Debian y otras distribuciones GNU/Linux.

Fragmento del código vulnerable. Fuente: devco.re

El fallo descubierto se encontraría en la función b64decode’, utilizada por métodos de autenticación como ‘CRAM-MD5’ (utilizado por defecto). Cualquier método de autenticación que haga uso de dicha función es vulnerable. El fallo sería explotable mediante un base64 inválido especialmente manipulado, el cual provocaría un desbordamiento en el buffer.

La vulnerabilidad se aprovecha del tamaño de buffer que asigna la función, el cual es de ‘3*(len/4)+1’. Normalmente esto no sería un problema, pero si se utiliza un base64 inválido de tamaño ‘4n+3’, la función asignará un tamaño de ‘3n+1’, pero utilizará ‘3n+2’. Esto acaba provocando que el buffer se desborde por un byte. Puede verse más información sobre la explotación de la vulnerabilidad en el artículo escrito por su descubridor.

A día de hoy, no hay una prueba de concepto que explote el fallo, y según puede leerse en la descripción de la vulnerabilidad en la web de EXIM, es difícil que pueda explotarse.


Más información:
 
Exim Off-by-one RCE: Exploiting CVE-2018-6789 with Fully Mitigations Bypassing:
https://devco.re/blog/2018/03/06/exim-off-by-one-RCE-exploiting-CVE-2018-6789-en/

CVE-2018-6789:

Desaparece la web cert.org, centro de respuesta ante incidentes informáticos

Esta organización sin ánimo de lucro, que aún mantendrá su listado de vulnerabilidades, comenzó en 1988 como un centro de ayuda para aquellas instituciones y usuarios afectados por incidencias de seguridad

De la noche a la mañana. Así es como ha desaparecido la web de esta organización creada bajo el amparo de DARPA hace casi 30 años tras la aparición del gusano Morris, uno de los más antiguos de Internet y que ocasionó en su momento pérdidas por 96 millones de dólares.

No han habido anuncios al respecto, y lo poco que se sabe al respecto es un tweet creado por Will Dormann, uno de los responsables del servicio. Lo que sí se seguirá actualizando es el listado de vulnerabilidades, el cual es utilizado por organizaciones de todo el mundo. También parece seguir de momento en activo el formulario web para reportar nuevas vulnerabilidades. Aunque no ha habido ninguna nota de prensa, según Dormann el sitio principal habría sido dado de baja por considerarse “innecesario”.

La web, que ahora redirige al “Software Engineering Institute” de la Universidad Carnegie Mellon, aún es posible visitarla gracias a Archive.org. En esta web podía encontrarse documentación de referencia como un listado actualizado de los CSIRTs nacionales, el cual ahora sólo puede verse usando Internet Archive.

Lo que más sorprende de la desaparición de esta mítica web, creada en respuesta al malware creado por Robert Tappan Morris cuando Internet todavía se llamaba ARPANET, es cómo se ha realizado sin ninguna clase de anuncio, tras ya formar parte de la historia de la seguridad informática.

Más información:
 

Hablemos de DrDOS

Recientemente, como ya contamos hace unos días, se ha detectado que mediante el uso de servicios memcached expuestos en internet, se había logrado llevar a cabo un ataque ‘DDoS Reflection’ (DrDOS) con un multiplicador cercano a 51.000.

Un ataque ‘DDos Reflection’ es un ataque de denegación de servicio por amplificación, que se produce cuando haciendo peticiones hacia un objetivo, éste es capaz de multiplicar el número de peticiones hacia el objetivo final.


Memcached es un sistema distribuido para caché de código abierto utilizado principalmente para mejorar la escalabilidad de las aplicaciones web. Memcached almacena pequeños datos mediante una funcionalidad de clave-valor. Los atacantes hacen uso de la funcionalidad clave-valor para crear un gran flujo con el que llevan a cabo el ataque.

El ataque se lleva a cabo en primer lugar mediante la obtención de servidores memcached expuestos en internet, para ello los atacantes hacen uso de herramientas como Shodan. Una vez se obtiene el listado de IPs, se modifica la configuración clave-valor con el fin de lograr la mayor cantidad de almacenamiento posible, permitiendo mediante la falsificación de la IP de destino en la solicitud, que el sistema memcached responda a la IP falsificada, aumentando el diferencial del que hemos hablado anteriormente.
Al llevar a cabo la técnica anteriormente descrita sobre un ‘poll’ de servidores, logramos un ataque DrDoS contra la IP de origen que se ha falsificado, que en este caso, correspondería a la víctima.
Históricamente, este tipo de ataques lo hemos podido observar en sistemas DNS, NTP y sistemas SSDP entre otros muchos, por lo que no es nada nuevo. La novedad se encuentra en el multiplicador que se ha llegado a conseguir superando con bastante claridad al resto de ataques DrDOS registrados.

 

A continuación os mostramos una tabla comparativa:


Protocolo
Multiplicador
DNS
28 a 54
NTP
556.9
SNMPv2
6.3
NetBIOS
3.8
SSDP
30.8
CharGEN
358.8
QOTD
140.3
BitTorrent
3.8
Kad
16.3
Quake Network Protocol
63.9
Steam Protocol
5.5
Multicast DNS (mDNS)
2 a 10
RIPv1
131.24
Portmap (RPCbind)
7 a 28
LDAP
46 a 55
CLDAP
56 a 70
TFTP
60
Memcache
10,000 a 51,000


Este ataque ha sido posible debido a una mala política de securización. Los que hemos trabajado con servicios memcached sabemos que están pensados para trabajar en ‘Loopback’ o redes locales, y una sola línea en su configuración hacen que sean expuestos en internet, por lo que cualquier persona podría usarlos. Aunque implemente medidas de seguridad éstas no vienen configuradas por defecto, y su fácil puesta en marcha, hace que estas medidas queden en muchos casos en el olvido.
En este casos no estamos hablando de una vulnerabilidad, sino de una técnica de DDoS que se aprovecha de una mala configuración de seguridad, la cual permite alcanzar picos de tráfico que han generado records para empresas como Akamai y Cloudfare. Por ejemplo, Akamai experimentó un ataque de 1.3 Tbs contra un solo cliente, más del doble del tamaño del ataque botnet Mirai mitigado por Akamai en 2017.

 

La mitigación de este tipo de ataques es sencilla ya que procede del puerto 11211 UDP que utiliza el servicio memcached, por lo que es fácilmente identificable para la aplicación de políticas de mitigación por parte de los servicios anti DDoS.
Más información:

El mayor ataque DDoS de la historia mitigado en minutos:

http://unaaldia.hispasec.com/2018/03/el-mayor-ataque-ddos-de-la-historia.html

The latest “reflection attack” gooses Denial of Service attacks by a factor of 51,000:

Alpha Oscar Charlie

Suena el teléfono, llamada entrante. Al principio parece un sueño, te cuesta discernir la realidad de la neblina que poco a poco se va despejando y deja que tu raciocinio tome asiento en la cabina. Ves el identificador y te sube el pulso. Vaya, exclamas, jamás pensé que me iban a llamar. En las películas te llama, mínimo, un coronel, aquí suena la voz seca, directa, aunque con unas gotas de condescendencia de una sargento: “Hola. Le llamo por la activación del protocolo alpha-oscar-charlie. EMACON, paseo de la castellana, oficina 45B, a las 6:00 JULIET, lleve su identificación y DNI. ¿Confirma su asistencia?”.

La cabeza te da unas cuentas vueltas. Intentas recordar torpemente que era el protocolo o quién demonios era JULIET, pero de lo único que te acuerdas es de las fotos de aviones y los bizcochos que había en la sala aquel día. “¿Oiga, confirma su asistencia?”, insiste tu interlocutora. El paladar ya demanda la primera ración de café y mientras el cuerpo sigue saliendo a marchas forzadas de su éstasis interrumpido, lo único que tienes ganas es de colgar, volver a la cama y que la sargento tache tu nombre. Que se olviden de ti y llamen al siguiente de la lista. Estás a punto de hacerlo, pero en ese instante tu cerebro encuentra el valor de la clave alpha-oscar-charlie: Ataque Objetivo Civil. “Sí, sí, claro. Confirmo asistencia. Gracias, adiós”. Te vistes, coges el portátil, olvidas el cargador como Dios manda y sales sin ni siquiera acordarte en cuál de los seis coma tres kilómetros de Castellana está el EMACON o que significan sus siglas.

Llegas en taxi y te apenas, porque pensabas que esto iba de que te recogían en casa dos tíos trajeados en una limusina. Entras en una sala y ves a algunas caras conocidas: un académico, dos antiguos compañeros de trabajo y dos o tres caras que de inmediato asocias a tu timeline en Twitter. Huele a café y hay un soldado dejando bizcochos en una bandeja. A por ella. La conversación versaba sobre un único punto: Porqué estaban allí. Todo lo que sabían era que algo fallaba. Las redes sociales llevaban varias horas en silencio, no había un solo comentario desde hacía horas, es más, ni un solo servidor de cualquier red social respondía a petición alguna. Solo el silencio.

Entró un teniente coronel acompañado de varios oficiales de menor graduación. Señores, pasen a la sala contigua, pónganse cómodos, aunque esto va a ser breve. El hombre rozaba la cincuentena, no muy alto, delgado y con aspecto de sacarle ventaja en una carrera a cualquier veinteañero. En el rostro podía leerse fácilmente la lucha entre una marcialidad entrenada durante años, ya empotrada en la piel, y un tímido ápice de preocupación. Procedió con el briefing: “Hace tres horas, España y por reflejo Portugal, han sido completamente desconectados de Internet. Supongo que lo habrán notado en sus respectivos dispositivos, no pueden alcanzar ni resolver servicio alguno que se encuentre fuera de nuestras redes. Hay más y esto es lo verdaderamente acuciante, las dos plantas de conversión energética de una ciudad española han sufrido una infección en su infraestructura y han sido desconectadas por completo. La ciudad está completamente a oscuras, aislada e incomunicada. Todo lo que sabemos es vía comunicación satelital. Hospitales, emergencias, quirófanos y otros servicios están funcionando con generadores y lo harán hasta que consuman sus reservas de diésel. Eso ocurrirá en cinco horas máximo.” Cinco segundos de silencio. Segundos en los que nos miró fijamente uno a uno…

¿Dónde está el dinero?

La ciberreserva. Un tema que ha suscitado más de una conversación, debate, artículo, etc. ¿Hay que pagar a los hackers? ¿Significaría colaborar con los militares? ¿Con los políticos? Hay una miríada de opiniones sobre el significado exacto, las consecuencias de aceptar la colaboración y la “recompensa” de hacerlo. Quienes se guían por su color político (todos respetables) tienden a abrazar o rechazar la idea. Quienes ven una oportunidad de consolidar una posición profesional, valoran o no abrazar la carrera de las armas. ¿Es correcto, no lo es? No hay una posición que ostente la absoluta razón y verdad. Todo va a depender del prisma con el que se mire.

Sobre si hay o no dinero para la pagar a la ciberreserva tiene una respuesta inmediata: no, no lo hay. No solo porque no existen fondos, sino porque no se trata de crear una división especial. Se trata de una agenda telefónica, nada más. En palabras del coronel Gómez de Ágreda:

“La ciber reserva es mucho más simple que lo que se ha contado hasta ahora: es una libreta de direcciones. Es tan sencillo como tener identificadas a las personas que saben hacer algo específico en ciberseguridad, y que puedan ayudar y aportar de forma desinteresada y voluntaria. Entre todos tenemos que hacer de este ciberespacio algo más habitable”.

Ya está. Solo eso. Nada más. Saber a quién deben llamar. Ya hay personal muy cualificado en el ámbito militar (eso incluye inteligencia) y los cuerpos policiales, todos conocemos o nos suena alguien. De hecho, si se quiere una oportunidad laboral tan solo hay que preparar unas oposiciones y orientar la carrera profesional hacia esas especialidades. ¿Cómo van a pagar talento si ya a las empresas nacionales le cuesta sujetarlo y competir con el atractivo de trabajar para una empresa extranjera, con condiciones infinitamente mejores?

Es notable, y una reacción totalmente justificada, ponerse alerta cuando este concepto de ciberreserva sale de boca de la política. En ese momento te detienes a leer entre líneas y ver “donde está el truco”, de inmediato te pones a la defensiva. Es instintivo. Aun así, esto todavía es muy reciente, la información que se desprende puede incluso ser contradictoria y a cada paso da la impresión de que se está confundiendo más al personal que aclarando el asunto.Todo está por ver. Pero hay una cosa clara. Estoy completamente seguro de que quienes ahora critican, se burlan o pelean virtualmente sobre este tema no van a dudar en atender a una llamada y salir a arrimar el hombro si algún día ocurre algo parecido al relato que abre este artículo.

Independientemente del color de las ideas de cada uno o cada una, algo que tenemos en común es que a la hora de la verdad los centros de donación de sangre de llenan de brazos o las playas colmadas de chapapote de voluntarios. Cuando se prescinde del color, las líneas a seguir se ven con meridiana claridad. Eso sí, que nadie piense que va a mover voluntades para limpiar algo que nunca se tuvo que manchar. Esta vez han dado con los más listos de la clase y tarde o temprano lo descubrirán.

SgxPectre, otra zancadilla a Intel derivada de Spectre

Investigadores de la Universidad de Ohio han desarrollado una serie de ataques basados en fallos de diseño de procesadores revelados por Spectre. El objetivo, SGX de Intel, una extensión de la arquitectura que permite ejecutar código de forma privada tal que ni siquiera el sistema operativo pueda observar.

Apenas hace dos meses de la presentación pública de Meltdown ySpectre, aquellas vulnerabilidades que han hecho historia en el mundo de la seguridad informática. Con consecuencias tan graves como poder leer la memoria reservada a otros procesos o incluso al sistema operativo, ocasionaron una gran polémica y consecuencias que durarán años. Tal y como analizamos en su día, ambas vulnerabilidades se deben a fallos de diseño en los procesadores, que con el objetivo de exprimir al máximo el silicio y aumentar el rendimiento, abrieron la puerta a una clase de vulnerabilidades que perdurarán años.

Precisamente, el ataque del que hablamos aprovecha estos fallos de diseño.Es una variación de Spectre (la que permitía leer memoria de los procesos con trozos de código vulnerables) orientada a leer memoria de enclavesSGX. ¿Y qué es un enclave SGX? Resumidamente, es una forma de ejecutar código en procesadores Intel que lo soporten, de forma que ni siquiera el sistema operativo o un hipervisor puedan acceder a la memoria involucrada en la ejecución. El objetivo más llamativo de SGX es ejecutar código sensible en un servidor remoto ejecutando software no confiable.

Superficie expuesta a ataques sin y con SGX. Extraída de software.intel.com.

Esto vendría a intentar solucionar el gran problema de la computación en la nube: El que un tercero procese datos sensibles por ti. Aunque lo cierto es que la implementacion deja un poco que desear. Desde que salió, unascuantas publicaciones han ido contándonos cómo básicamente SGX hace aguas por varios sitios, permitiendo leer del preciado enclave, que se presuponía privado. Por no hablar de que para convertirte en confiable y así poder ejecutar un enclave ajeno (de un cliente), hay que contactar con servidores propios de Intel como piezas imprescindibles del proceso de verificación… Pagando, por supuesto.

La familia de ataques SgxPectre no son una revolución conceptual. Tal y como dicen los autores de la publicación, los conceptos de estos ataques son básicamente los mismos en los que se fundamenta Spectre. De hecho, ni siquiera son una revolución en la aplicación de Spectre a SGX, ya queexisten reportes sobre la vulnerabilidad de SGX a ataques derivados deSpectre publicados apenas unos días después de la publicación de éste último, incluyendo una prueba de concepto de un grupo de investigación del Imperial College de Londres. Esta publicación aporta una explicación exhaustiva de los ataques, y presenta un verificador de código para detectar los trozos de código vulnerables que permiten estos ataques.

Los usuarios de a pie apenas se verán afectados por estos ataques, ya que SGX se usa en extensiones del procesador relativamente modernas y sólo en procesadores Intel. Evidentemente un producto orientado al usuario final no se puede restringir a funcionar únicamente en procesadores Intel modernos.Aquellos que programen usando SGX deberán esperar al 16 de marzo, que es cuando Intel prometer publicar el SDK corregido (SDK: kit de desarrollo de software, que estaba produciendo los trozos de código vulnerables). Esto junto con las mitigaciones ya publicadas para Meltdown y Spectre, deberían neutralizar estos ataques.

Más información:

 
SgxPectre Attacks: Leaking Enclave Secrets via Speculative Execution
http://web.cse.ohio-state.edu/~zhang.834/papers/SgxPectre.pdf

Intel’s SGX security extensions: Secure until you look at the detail:
https://www.theregister.co.uk/2016/02/01/sgx_secure_until_you_look_at_the_detail/

Intel SGX Explained
https://eprint.iacr.org/2016/086.pdf

Meltdown y Spectre: Graves vulnerabilidades en los procesadores de los principales fabricantes
http://unaaldia.hispasec.com/2018/01/meltdown-y-spectre-graves.html

SgxPectre Attacks: Practical Spectre attacks against Intel’s SGX enclaves
https://github.com/OSUSecLab/SgxPectre

New Spectre attack variant can pry secrets from Intel’s SGX protected enclaves
http://www.zdnet.com/article/new-spectre-attack-variant-can-pry-secrets-from-intels-sgx-protected-enclaves/