Zombieload v2: otra vulnerabilidad, menos rendimiento en los procesadores Intel

Intel anunciaba en mayo un conjunto de vulnerabilidades denominado como Conjunto de Debilidades en los Microprocesadores (MDS por sus siglas en inglés,) donde los atacantes podrían aprovechar los agujeros de seguridad para extraer información del sistema por medio de los procesadores.

La mejor solución al problema no era otra cosa que desactivar el Hyper-Threaring, lo que conllevaba una enorme pérdida de rendimiento. Más tarde llegó una mitigación, lo que conllevó a una pérdida de rendimiento adicional en todas las CPUs, minúscula al lado de tener que desactivar el HT, claro.

El MDS se trata de un ataque de ejecución especulativa de canal lateral que puede permitir a actores maliciosos ejecutar código localmente para extraer datos sensibles que de otro modo estarían protegidos por los mecanismos arquitectónicos de los procesadores Intel. Esta vulnerabilidad afectó a todos los procesadores de la compañía lanzados entre los años 2011 y 2018“.

Pues bien, ahora se ha dado a conocer que el MDS era una vulnerabilidad peor de lo que se esperaba, ya que da pie a nueva vulnerabilidad denominada TSX Asynchronous Abort (TAA), una variante de la vulnerabilidad ZombieLoad. Con este anuncio, Intel también reveló hoy una nueva mitigación del Código de Salto Condicional (Jump Conditional Code, JCC) y publicó un nuevo parche que implica otra pérdida de rendimiento, ya que requiere recursos del sistema para su solución.

Los investigadores que descubrieron ambas vulnerabilidades afirmaron haber revelado la vulnerabilidad a Intel hace más de un año, y es ahora cuando la compañía está ofreciendo una solución a sus clientes.

Desde que el escándalo en torno a Meltdown y Spectre viera la luz, los ataques de tipo canal lateral se han convertido en una pesadilla para Intel. Lo peor es que a veces los parches dan la sensación de no estar completos, y de ahí que tengamos casos como el del reciente Zombieload v2 (CVE-2019-11135), que en esencia es una variante de otro fallo de seguridad que fue expuesto el pasado mes de mayo.

Recapitulando, en el pasado mes de mayo se expusieron cuatro vulnerabilidades de tipo canal lateral que afectaron a los procesadores de Intel: Zombieload, Fallout, RIDL y Store-to-Leak Forwarding. Si bien todas ellas guardan similitudes con Spectre, también había una gran diferencia, y es que se apoyaban en los búferes en lugar de utilizar la memoria caché del procesador. Debido a esto, la compañía con sede en Santa Clara decidió denominarlas ataques de Microarchitectural Data Sampling (MDS).

Zombieload v2 es en esencia una variante de la vulnerabilidad original que ha sido capaz de afectar a los procesadores de generación Cascade Lake, los cuales están protegidos contra el primer Zombieload. Como consecuencia, un porcentaje muy importante de los procesadores comercializados por Intel desde 2013 se han visto afectados, más concretamente los que soportan la extensión del conjunto de instrucciones TSX, que fue habilitada por defecto a partir del año mencionado según los investigadores en seguridad tras la divulgación de Zombieload v2.

Entrando en detalles, el ataque Zombieload 2 se dedica a explotar la operación de Aborto Asíncrono de las Extensiones de Sincronización Transaccional (TSX) de Intel, cosa que se puede realizar cuando un atacante utiliza un código malicioso específicamente diseñado para crear un conflicto entre las operaciones de lectura dentro del procesador, con el cual se puede leer los datos que están siendo procesados por la CPU.

Intel ha reaccionado intentando rebajar la gravedad del problema. Para empezar, ha explicado que los ataques MDS no permiten a los atacantes controlar los datos que pueden atacar y extraer, además de que son mucho menos eficientes de llevar a cabo que otros tipos de ataques.

Según los investigadores que han expuesto la vulnerabilidad, el conjunto de instrucciones VERW, que Intel dijo en mayo que podía ser usado para proteger sus procesadores de los ataques MDS que intentan extraer datos, está incompleto y puede ser eludido, abriendo así la puerta a la ejecución de Zombieload 2.

Con el fin de afrontar mejor el asunto, Intel ha empezado a suministrar una actualización de su microcódigo para mitigar la vulnerabilidad, por cuya naturaleza recordamos no puede ser subsanada totalmente a menos que Intel introduzca cambios importantes a nivel del silicio, por lo que los procesadores vendidos no tendrán una solución libre de impacto en el rendimiento. Como ya ha pasado en anteriores ocasiones, la aplicación del parche contra Zombieload 2 vía microcódigo conllevará una pérdida de rendimiento en muchos procesadores, pudiendo ser en esta ocasión de entre un 4 y un 19 por ciento según la fuente que se consulte.

¿Y qué pasa con AMD? Debido a que los procesadores de AMD no soportan TSX, no se han visto afectados por Zombieload 2, así que los usuarios de dicha marca se pueden sentir aliviados, ya que no van a necesitar, al menos en esta ocasión, de ningún parche que pueda terminar mermando el rendimiento. Por otro lado, Intel ha recomendado la inhabilitación del soporte de TSX en caso de no ser utilizado o no ser necesario.

Intel reveló que la vulnerabilidad TAA permite a “un atacante otra forma de filtrar datos” en todos los procesadores Intel menos en los más recientes, pero incluso la 9ª Generación de CPUs, los Intel Core ‘Coffee Lake Refresh’, soportan la tecnología Intel TSX, por lo que están afectados, así que los únicos procesadores que están 100% a salvo son los procesadores Intel Core de 10ª Comet Lake y los Canon Lake, los cuales únicamente están disponibles en variantes de Bajo Consumo para portátiles, por lo que realmente todos los procesadores de sobremesa de la compañía están afectados de esta vulnerabilidad.

Phoronix realizó unas pruebas de rendimiento con unos procesadores Intel de categoría HEDT (Intel Core i9 7960X) y de servidor (Intel Xeon Silver 4108), y como era de esperar, llega a existir notorias pérdidas de rendimiento en ciertos benchmarks tras instalar el parche que mitiga este problema. Por ejemplo, en el benchmark Graphics Magick v1.3.33, tenemos una pérdida de rendimiento de hasta un 18 por ciento, mientras que en el Apache Benchmark v2.4.29 tenemos una pérdida de rendimiento de un 9 por ciento.

Según Intel, la pérdida de rendimiento tras instalar este parche será de entre un 0 y un 4 por ciento. Pero tal y como hemos podido observar, hay pruebas de rendimiento donde se supera el valor indicado.

Los ataques de tipo canal lateral se apoyan en el proceso de ejecución especulativa, el cual es necesario para poder exprimir mejor la potencia de los procesadores modernos. Sin embargo, según ha explicado Linus Torvalds, creador de Linux, durante su implementación se tomaron ciertos “atajos”, lo que ha derivado en los problemas de seguridad que están afectando no solo a Intel, sino también a AMD, ARM y otros, aunque sea en menor medida.

4 Replies to “Zombieload v2: otra vulnerabilidad, menos rendimiento en los procesadores Intel”

  1. Jajaja aya los que se pasan el dia preocupandose por la ciberseguridad y esas cosas, el parche no me interesa, quieren ver mis datos, bienvenidos a ver un gameplay de borderlands 3, jejejeje realmente siempre me ha parecido que el hecho del robo de identidad y esas cosas es menos grave de lo que lo plantean, igual desde la salida de google al mercado ya no tenemos identidad, entonces por que seguir preocupandonos, nosotros no tenemos informacion altamente clasificada ni nada por el estilo y a no ser que seas una persona realmente rica no tienes por que preocuparte por esas cosas, realmente esta es mi humilde opinion de estos casos

    1. estos problemas donde son peligrosos es en servidores, centros de datos, y lo que corre en esos entornos
      es una de las razones que los grandes proveedores y getores de servicios estan pasando a EPYC, que o no tiene estos problemas o la version que tiene es las mas suave y los parches no afectan. ademas de mas rendminto, menos consumo, mas densidad, menos coste de compra y mantenimiento, etc

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *