Intel impulsó el martes actualizaciones de microcódigo para corregir un error de CPU de alta gravedad que tiene el potencial de ser explotado maliciosamente contra hosts basados ​​en la nube. La falla, que afecta prácticamente a todas las CPU Intel modernas, hace que «entren en un estado de falla donde las reglas normales no se aplican», informó Tavis Ormandy, uno de los varios investigadores de seguridad dentro de Google que descubrieron el error. Una vez desencadenado, el estado de falla da como resultado un comportamiento inesperado y potencialmente grave, en particular fallas del sistema que ocurren incluso cuando se ejecuta código que no es de confianza dentro de una cuenta de invitado de una máquina virtual, que, según la mayoría de los modelos de seguridad en la nube, se supone que está a salvo de tales fallas. La escalada de privilegios también es una posibilidad. Comportamiento muy extraño El error, rastreado bajo el nombre común Reptar y la designación CVE-2023-23583, está relacionado con la forma en que las CPU afectadas administran los prefijos, que cambian el comportamiento de las instrucciones enviadas por el software en ejecución. La decodificación Intel x64 generalmente permite ignorar los prefijos redundantes (es decir, aquellos que no tienen sentido en un contexto determinado) sin consecuencias. Durante las pruebas realizadas en agosto, Ormandy notó que el prefijo REX generaba «resultados inesperados» cuando se ejecutaba en CPU Intel que admiten una característica más nueva conocida como movimiento rápido de repetición corta, que se introdujo en la arquitectura Ice Lake para solucionar los cuellos de botella de microcodificación. El comportamiento inesperado ocurrió al agregar los prefijos rex.r redundantes a la operación rep mov optimizada para FSRM. Ormandy escribió: Observamos un comportamiento muy extraño durante las pruebas. Por ejemplo, bifurcaciones a ubicaciones inesperadas, bifurcaciones incondicionales que se ignoran y el procesador ya no registra con precisión el puntero de instrucción en xsave o instrucciones de llamada. Curiosamente, al intentar comprender lo que estaba sucediendo, veíamos un depurador que informaba estados imposibles. Esto ya parecía indicar un problema grave, pero a los pocos días de experimentar descubrimos que cuando varios núcleos desencadenaban el mismo error, el procesador comenzaba a informar excepciones de verificación de la máquina y se detenía. Verificamos que esto funcionó incluso dentro de una máquina virtual invitada sin privilegios, por lo que esto ya tiene serias implicaciones de seguridad para los proveedores de la nube. Naturalmente, informamos esto a Intel tan pronto como confirmamos que se trataba de un problema de seguridad. Jerry Bryant, director senior de Respuesta a Incidentes y Comunicaciones de Seguridad de Intel, dijo el martes que los ingenieros de la compañía ya estaban al tanto de un «error funcional» en plataformas de CPU más antiguas que podría resultar en una denegación temporal de servicio y habían programado una solución para el próximo marzo. La clasificación de gravedad se había fijado provisionalmente en 5 sobre 10 posibles. Esos planes se vieron interrumpidos tras descubrimientos en Intel y más tarde en Google. Bryant escribió: Anuncio Gracias a la diligencia y experiencia de los investigadores de seguridad de Intel, posteriormente se descubrió un vector que podría permitir una posible escalada de privilegios (EoP). Con una puntuación CVSS 3.0 actualizada de 8,8 (alta), este descubrimiento cambió nuestro enfoque para mitigar este problema para nuestros clientes y adelantamos la actualización para alinearnos con las divulgaciones ya planificadas para noviembre de 2023. Mientras preparamos el paquete de actualización de la plataforma Intel de febrero de 2024 para Después de la validación del cliente, recibimos un informe de un investigador de Google sobre el mismo problema de TDoS descubierto internamente. El investigador citó una política de divulgación de 90 días de Google y que se harían públicas el 14 de noviembre de 2023. Crisis (con suerte) evitada El boletín oficial de Intel enumera dos clases de productos afectados: los que ya se solucionaron y los que se solucionaron mediante las actualizaciones de microcódigo publicadas. Martes. Específicamente, estos productos tienen la nueva actualización de microcódigo: Colección de productos Segmento vertical ID de CPU ID de plataforma Familia de procesadores Intel Core de 10.ª generación Móvil 706E5 80 Servidor de la familia escalable de procesadores Intel Xeon de 3.ª generación 606A6 87 Servidor de procesadores Intel Xeon D 606C1 10 Familia de procesadores Intel Core de 11.ª generación Desktop Embedded A0671 02 Familia de procesadores Intel Core de 11.ª generación Mobile Embedded 806C1 806C2 806D1 80 C2 C2 Intel Server Processor Server Embedded A0671 02 Una lista exhaustiva de las CPU afectadas está disponible aquí. Como es habitual, las actualizaciones de microcódigo estarán disponibles a través de los fabricantes de dispositivos o placas base. Si bien no es probable que las personas enfrenten ninguna amenaza inmediata debido a esta vulnerabilidad, deben consultar con el fabricante para obtener una solución. Las personas con experiencia en instrucción y decodificación x86 deberían leer la publicación de Ormandy en su totalidad. Para todos los demás, la conclusión más importante es la siguiente: «Sin embargo, simplemente no sabemos si podemos controlar la corrupción con la suficiente precisión como para lograr una escalada de privilegios». Eso significa que no es posible que personas ajenas a Intel conozcan el verdadero alcance de la gravedad de la vulnerabilidad. Dicho esto, cada vez que el código que se ejecuta dentro de una máquina virtual puede bloquear el hipervisor en el que se ejecuta la VM, los proveedores de la nube como Google, Microsoft, Amazon y otros se darán cuenta de inmediato. En una publicación separada, los funcionarios de Google escribieron: El impacto de esta vulnerabilidad se demuestra cuando la explota un atacante en un entorno virtualizado multiinquilino, ya que el exploit en una máquina invitada hace que la máquina host falle, lo que resulta en una denegación de servicio a otros. máquinas invitadas que se ejecutan en el mismo host. Además, la vulnerabilidad podría conducir a la divulgación de información o a una escalada de privilegios. La publicación decía que Google trabajó con socios de la industria para identificar y probar las mitigaciones exitosas que se han implementado. Es probable que ya se haya evitado cualquier crisis potencial, al menos en los entornos de nube más grandes. Es posible que los servicios de nube más pequeños aún tengan trabajo por hacer.

Source link