Alertas de seguridad

Nuevo ataque de robo de datos a las CPU desarrolladas por Intel

Intel generó una función cuyo fin es la optimización del rendimiento llamada DDIO (abreviatura de Data-Direct I/O). El DDIO viene habilitado de manera predeterminada en todos los procesadores Intel para servidores desde el año 2012, incluidas las familias Intel Xeon E5, E7 y SP. DDIO es una de las últimas innovaciones dadas por Intel debido a mejoras referentes al rendimiento del sistema, que permite que la memoria caché del procesador sea el destino principal y la fuente de datos, proporcionando un mayor ancho de banda, menor latencia y menor consumo de energía. 

ataque robo de datos CPU Intel

Anterior a Intel DDIO, se hace referencia a una época en que las memorias caché del procesador eran lentas, con recursos pequeños y escasos. Para las familias de procesadores Intel Xeon E5 e Intel Xeon E7 v2, el caché de último nivel es de 20 MB reconociendo que los múltiples accesos de memoria del modelo clásico degradan el rendimiento y aumentan el consumo de energía del sistema, logrando un flujo más eficiente de datos.

Detalles del ataque 

Los investigadores han descubierto una nueva falla que puede explotarse de forma remota a través de la red sin que sea imprescindible que un atacante tenga acceso físico o en su defecto, contenga malware instalado en una computadora objetivo. Se le ha denominado NetCAT (Network Cache Attack), como la nueva vulnerabilidad de canal lateral basada en la red, que podría permitir a un atacante remoto detectar datos confidenciales como la contraseña SSH y caché de la CPU Intel.

El equipo de investigadores de seguridad de la Universidad de Vrije en Amsterdam, descubrió la vulnerabilidad registrada bajo el CVE-2019-11184, focalizada en la función de optimización del rendimiento de Intel, que de manera similar a Throwhammer (exploits Throwhammer, permiten que un atacante pueda ejecutar código en un sistema vulnerable para escalar privilegios y comprometer el sistema), lo anterior, al enviar únicamente paquetes de red diseñados especialmente para un equipo destino que tiene habilitada la función de Acceso Directo a Memoria Remota (RDMA).

RDMA permite a los atacantes espiar diferentes periféricos remotos por parte del servidor, así como las tarjetas de red, observando la diferencia de tiempo entre un paquete de red que se envía desde la caché del procesador remoto, frente a un paquete enviado desde la memoria. Con esto, la idea es realizar un análisis de sincronización de pulsación de tecla con el fin de recuperar palabras escritas por una víctima usando un algoritmo de aprendizaje automático.  

El escenario se tiene en una sesión SSH interactiva, por medio de la cual una persona al presionar una tecla, los paquetes de red son transmitidos de manera directa. El resultado, cada vez que una víctima escribe un caractér dentro de está sesión encriptada en su consola, NetCAT puede conocer el tiempo del evento a filtrar en la red correspondiente; NetCAT puede operar un análisis estático de los tiempos entre paquetes de llegada, por medio de los cuales se logra conocer como un ataque de tiempo de pulsación de tecla puede filtrar lo que se escribe, en una sesión SSH privada.

En comparación a un atacante local nativo, el ataque NetCAT desde toda la red reduce la precisión de las pulsaciones de teclas descubiertas en promedio al 11.7% descubriendo la llegada de paquete SSH con una tasa positiva del 85%.                                                          

 Acciones recomendadas

Intel reconoció el problema y recomendó a los usuarios deshabilitar completamente DDIO o al menos RDMA para hacer que los ataques sean más difíciles, sugiriendo limitar el acceso directo a los servidores desde redes no confiables.

La compañía asignó a la vulnerabilidad de NetCAT una calificación de gravedad baja, describiéndola como un problema de divulgación de información parcial otorgando una recompensa al equipo de VUSec por su divulgación responsable.

Topics: google chrome ataque robo de datos en CPU de Intel Intel NetCAT RDMA DDIO Acceso Directo a Memoria Remota