Una clase recientemente descubierta de vulnerabilidades del procesador Intel llamadas condiciones de carrera de predictor de rama (BPRC) permite a los atacantes extraer sistemáticamente datos confidenciales de cachés y memoria de acceso aleatorio (RAM) de otros usuarios que comparten el mismo hardware.
Afecta a todos los procesadores Intel lanzados en los últimos seis años. Se incluye en dispositivos de consumo e infraestructura del servidor en la nube. Las vulnerabilidades aprovechan la tecnología de ejecución especulativa diseñada para acelerar el rendimiento computacional.
Los investigadores del grupo de seguridad informática en ETH Zurich (COMSEC) han demostrado que los actores maliciosos pueden aprovechar BPRC para evitar las barreras de privilegios a nivel de procesador, logrando lecturas ilícitas de contenido de la memoria a tasas superiores a un segundo.
Este defecto plantea graves riesgos para los entornos de nubes de múltiples inquilinos. Aquí, los recursos de hardware compartidos amplifican la posibilidad de infracciones de datos entre usuarios.
Ejecución especulativa y sus compensaciones de seguridad inherentes
Los procesadores modernos emplean la ejecución especulativa para predecir y precalcular posibles instrucciones, reduciendo los retrasos en la ejecución del programa.
Al predecir ramas de las rutas de ejecución del código, como las declaraciones condicionales, la CPU puede mantener el rendimiento computacional incluso durante los retrasos causados por la obtención de datos de los sistemas de memoria más lentos. Sin embargo, esta optimización de rendimiento crea canales laterales que los atacantes pueden explotar.
Kaveh Razavi de ETH Zurich, jefe de COMSEC, señala que la tecnología especulativa “esencialmente socava la seguridad de los datos” al introducir brechas temporales en las verificaciones de privilegios durante los conmutadores de contexto del usuario.
La vulnerabilidad de BPRC sigue los patrones observados en defectos anteriores como Spectre (2017), Meltdown (2017) y Retbleed (2022). Todas estas ejecución especulativa manipulada para acceder a áreas de memoria protegidas. Estos problemas recurrentes resaltan las debilidades sistemáticas de la forma en que la arquitectura de la CPU equilibra la velocidad y la seguridad.
La vulnerabilidad de BPRC fue de la investigación sobre el efecto residual del parche de revancha. Johannes Wikner, un ex alumno de doctorado en el grupo de Razavi, detectó una señal de caché anormal que persiste independientemente de las medidas de mitigación de Intel.
Sandro Rüegge, analista principal del estudio BPRC, rastreó estas señales hasta el estado racial de la escala de nanosegundos que ocurre durante las transiciones de privilegios.
Cuando el procesador cambia entre usuarios o procesos, detiene temporalmente la ejecución especulativa y actualiza los privilegios privilegiados. Sin embargo, BPRC expone un defecto grave. La renovación de los permisos se retrasa detrás de las instrucciones especulativas precalculantes en solo unos pocos nanosegundos.
Un atacante puede insertar código dentro de esta ventana que desencadena la ejecución especulativa, lo que hace que la CPU aplique accidentalmente los viejos privilegios. Esto permite el acceso no autorizado a las áreas de memoria reservadas para usuarios y procesos de alta derecha.
Proceso de ataque
Al repetir tales ataques, el enemigo puede extraer el contenido de sus recuerdos uno tras otro. El experimento de Rüegge demostró que un solo ciclo de exploit obtendría un byte, pero la iteración rápida logró más de 5,000 bytes por segundo para eliminar datos confidenciales, como claves de cifrado y tokens de autenticación en cuestión de minutos.
Los proveedores de servicios en la nube enfrentan un mayor riesgo a medida que confían en el hardware compartido. Las máquinas virtuales (máquinas virtuales) o contenedores que se ejecutan en el mismo servidor físico a menudo comparten recursos de CPU y crean oportunidades para ataques con inquilinos cruzados.
Los actores maliciosos pueden implementar máquinas virtuales comprometidas para evitar las medidas de seguridad de la capa de virtualización y cosechar datos de VME ubicadas.
Los centros de datos empresariales y las plataformas de nubes públicas que utilizan procesadores Xeon influenciados por Intel son particularmente vulnerables. Los vectores de ataque se extienden más allá de los servidores tradicionales a los nodos de computación de borde y los dispositivos IoT, aprovechando los chips Atom o Core Series de Intel.
Intel lanzó una actualización de microcódigo a fines de 2024 para abordar BPRC, lo que requiere la implementación a través de BIOS o parches del sistema operativo.
Sin embargo, Razavi enfatiza que tal solución es StopGaps. “Un nuevo conjunto de vulnerabilidades en tecnología especulativa ilustra fallas arquitectónicas fundamentales”.
Cada parche introduce gastos generales de rendimiento y socava la ventaja de velocidad que proporciona objetivos de ejecución especulativos.
Para los usuarios, es importante instalar las últimas actualizaciones de Windows, Linux o firmware. Los proveedores de la nube deben asegurarse de que los hipervisores y los sistemas de host apliquen estos parches rápidamente.
Sin embargo, al igual que Spectre y Meltdown, la mitigación completa puede requerir que el hardware rediseñe las perspectivas complejas al confiar en las arquitecturas Legacy X86.
BPRC enfatiza la necesidad de un cambio de paradigma en la arquitectura del procesador. Los académicos y los grupos de la industria están buscando alternativas como la implementación de órdenes que sacrifiquen cierto rendimiento por la seguridad determinista y sacrifiquen mecanismos de aislamiento mejorados por hardware como la extensión de software de Intel (SGX). Sin embargo, la adopción generalizada de tales diseños ha estado separada durante años.
Hasta entonces, las organizaciones deben priorizar el monitoreo de vulnerabilidad y la defensa en capas. Las auditorías regulares de firmware y microcódigo, junto con sistemas de detección de intrusos adaptados a cachés de anomalías, pueden reducir la exposición.
En entornos de alto riesgo, aunque no es realista para muchos, puede ser necesario migrar cargas de trabajo críticas a plataformas no inteligentes.
Como concluye Razavi, “la carrera armamentista entre la optimización del rendimiento y la seguridad está aumentando. Sin una revisión arquitectónica, continuaremos luchando contra las fallas en la ejecución especulativa y un parche a la vez”.
Cómo los piratas informáticos de simulación de ataque de vulnerabilidad sondean rápidamente sitios web de puntos de entrada: seminario web gratuito
