Protegiendo a nuestros clientes durante el ciclo de vida de las amenazas a la seguridad.

Detalles e información de mitigación para L1 Terminal Fault.

El equipo de seguridad y garantía de productos (IPAS) de Intel  se centra en el panorama de seguridad cibernética y trabaja constantemente para proteger a nuestros clientes. Las iniciativas recientes incluyen la expansión de nuestro  programa Bug Bounty  y el aumento de las asociaciones con la comunidad de investigación, junto con las pruebas de seguridad internas en curso y la revisión de nuestros productos. Somos diligentes en estos esfuerzos porque reconocemos que los malos actores persiguen continuamente ataques cada vez más sofisticados, y nos llevará a todos a trabajar juntos para ofrecer soluciones.

Hoy, Intel y nuestros socios de la industria están compartiendo más detalles e información de mitigación sobre un método de canal lateral de ejecución especulativa recientemente identificado llamado L1 Terminal Fault (L1TF). Este método afecta a seleccionar los productos de apoyo microprocesador Intel® Software Guardia Extensiones (Intel® SGX) y fue reportado por primera vez a nosotros por los investigadores de la Universidad Católica de Lovaina Universidad *, Technion – Israel Institute of Technology *, * Universidad de Michigan, Universidad de Adelaida * y Data61 * 1 . La investigación adicional de nuestro equipo de seguridad identificó dos aplicaciones relacionadas de L1TF con el potencial de afectar otros microprocesadores, sistemas operativos y software de virtualización.

Más:  Exploits de seguridad y productos Intel  (Kit de prensa) | Resultados de investigación de seguridad  (Intel.com)

Abordaré la cuestión de la mitigación directamente desde el  principio : las  actualizaciones de microcódigo (MCU) que lanzamos a principios de este año son un componente importante de la estrategia de mitigación para las tres aplicaciones de L1TF. Cuando se combinan con las actualizaciones correspondientes al sistema operativo y al software hipervisor lanzado hoy por nuestros socios industriales y la comunidad de código abierto, estas actualizaciones ayudan a garantizar que los consumidores, los profesionales de TI y los proveedores de servicios en la nube tengan acceso a las protecciones que necesitan.

L1TF también se aborda mediante cambios que ya estamos haciendo en el nivel de hardware. Tal como  anunciamos en marzo , estos cambios comienzan con nuestros procesadores escalables Intel® Xeon® de próxima generación (con el nombre en código Cascade Lake), así como con los nuevos procesadores cliente que se espera que se lancen a finales de este año.

No conocemos informes de que alguno de estos métodos haya sido utilizado en exploits del mundo real, pero esto subraya aún más la necesidad de que todos se adhieran a las mejores prácticas de seguridad. Esto incluye mantener los sistemas actualizados y tomar medidas para prevenir el malware. Para obtener más información sobre las mejores prácticas de seguridad, visite el  sitio web de Homeland Security.

Acerca de la falla del terminal L1

Las tres aplicaciones de L1TF son vulnerabilidades de temporización de caché de canal lateral de ejecución especulativa. En este sentido, son similares a las variantes informadas anteriormente. Estos métodos particulares tienen como objetivo el acceso a la memoria caché de datos L1, un pequeño conjunto de memoria dentro de cada núcleo del procesador diseñado para almacenar información sobre lo que es más probable que haga el núcleo del procesador a continuación.

Las actualizaciones de microcódigo que lanzamos a principios de este año proporcionan una forma para que el software del sistema borre esta memoria caché compartida. Dada la complejidad, creamos un video corto para ayudar a explicar L1TF.

Una vez que los sistemas se actualizan, esperamos que el riesgo para los consumidores y las empresas  que utilizan sistemas operativos no virtualizados  sea ​​bajo. Esto incluye la mayor parte de la base instalada del centro de datos y la gran mayoría de los clientes de PC. En estos casos, no hemos visto ningún impacto en el rendimiento significativo de las mitigaciones anteriores basadas en los puntos de referencia que hemos ejecutado en nuestros sistemas de prueba.

Existe una porción del mercado, específicamente un subconjunto de quienes usan tecnología de virtualización tradicional, y principalmente en el centro de datos, donde puede ser aconsejable que los clientes o socios tomen medidas adicionales para proteger sus sistemas. Esto es principalmente para protegerse contra situaciones en las que el administrador de TI o el proveedor de la nube no pueden garantizar que se hayan actualizado todos los sistemas operativos virtualizados. Estas acciones pueden incluir la habilitación de funciones específicas de programación del núcleo del hipervisor o la elección de no utilizar hiper-subprocesamiento en algunos escenarios específicos. Si bien estos pasos adicionales podrían ser aplicables a una porción relativamente pequeña del mercado, creemos que es importante brindar soluciones para todos nuestros clientes.

Para estos casos específicos, el rendimiento o la utilización de recursos en algunas cargas de trabajo específicas pueden verse afectados y varían en consecuencia. Nosotros y nuestros socios de la industria estamos trabajando en varias soluciones para abordar este impacto para que los clientes puedan elegir la mejor opción para sus necesidades. Como parte de esto, hemos desarrollado un método para detectar exploits basados ​​en L1TF durante el funcionamiento del sistema, aplicando la mitigación solo cuando sea necesario. Hemos proporcionado un microcódigo de prelanzamiento con esta capacidad a algunos de nuestros socios para su evaluación, y esperamos ampliar esta oferta a lo largo del tiempo.

Para obtener más información sobre L1TF, incluida una guía detallada para profesionales de TI, visite el aviso en el  centro de seguridad . También proporcionamos un  libro blanco  y actualizamos las preguntas frecuentes en nuestro  primer sitio web de seguridad .

Me gustaría agradecer una vez más a nuestros socios de la industria y a los investigadores que primero informaron sobre estos problemas por su colaboración y recopilaron su compromiso con la divulgación coordinada. Intel está comprometida con la garantía de seguridad de nuestros productos y continuará brindando actualizaciones periódicas sobre los problemas a medida que los identificamos y mitigamos.

Como siempre, seguimos alentando a todos a aprovechar las últimas protecciones de seguridad manteniendo sus sistemas actualizados.

Leslie Culbertson  es vicepresidenta ejecutiva y gerente general de Product Assurance and Security en Intel Corporation.

 

Artículos Relacionados

DEJA UN COMENTARIO:

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.