Intel admite que existen vulnerabilidades que afectan el Hyperthreading

1

Intel confirmó cuatro nuevas vulnerabilidades de «ejecución especulativa», afectando específicamente a los procesadores fabricados por esta compañía, y prácticamente a la mayoría de sus CPU’s.

Si bien una selección de procesadores de 8ª y 9ª Generación están libres de riesgos (hasta el momento), la mayoría de las CPU’s de Intel de 2011 o posteriores se ven afectadas, o más concretamente, ponen en peligro a millones de PC y servidores de consumo.

El nombre de este nuevo exploits es «Microarchitectural Data Sampling» (MDS), descubierto por Intel junto con varios grupos independientes. Estas vulnerabilidades se dirigen a los buffers de datos de Intel, que vienen con títulos como ZombieLoad, Fallout, RIDL (Rogue In-Flight Data Load) y reenvío de almacenamiento a filtraciones.

Intel espera abordar estos problemas con futuras actualizaciones del sistema operativo y la mitigación de microcódigo, aunque vale la pena puntualizar que muchos de sus últimos procesadores ya contienen soluciones de nivel de hardware para estos problemas. Lamentablemente, es probable que estos arreglos afecten el rendimiento.

Buscando corregir estas vulnerabilidades, los fabricantes de sistemas operativos deben realizar cambios significativos en la forma en que funciona Hyperthreading, lo que proporciona a cada hilo una capa adicional de aislamiento cuando se ejecutan programas con diferentes dominios de seguridad. En pocas palabras, estos exploits pueden permitir que un hilo alcance su punto máximo en lo que está haciendo el otro, y aunque los datos observables serán, en su mayor parte, inútiles, sin embargo, es una gran preocupación para los sistemas Cloud, que usan máquinas virtuales u otros entornos de alta seguridad.

Intel propone una solución llamada Group Scheduling, que evitará que los procesos de un dominio de confianza independiente se ejecuten en el mismo hilo. El inconveniente está en que al evitar la utilización completa de subprocesos dentro de los sistemas, se reducen los niveles de rendimiento. Si varios programas no «confían» entre sí, es probable que hayan subprocesos que permanezcan inactivos, lo que afectará el equilibrio de la carga y el rendimiento.

Otra solución de Intel es simplemente desactivar el subprocesamiento, lo que evitará que los atacantes coloquen datos a través de MDS. Esta es una mitigación segura para los sistemas afectados, pero que también afectará el rendimiento del sistema.

Resolver estos problemas de «ejecución especulativa» no es un proceso fácil y no hay duda de que se descubrirán más vulnerabilidades en los próximos años. Probablemente tomará varios años para que Intel aborde completamente el riesgo de ataques de este tipo, o similares, dentro de sus procesadores, e incluso entonces siempre existe la posibilidad de que haya otro exploit que esté esperando a ser descubierto.

Si deseas más información directamente de Intel, accede aquí.