Intel está aconsejando discretamente a los clientes que demoren la instalación de parches
El parcheo para proteger las máquinas contra los ataques de Meltdown y Spectre está yendo lento, y los parches proporcionados, en algunos casos, conducen a más problemas que solo ralentizaciones.
De hecho, Intel ha admitido que han "recibido informes de unos pocos clientes de reinicios de sistemas más altos después de aplicar actualizaciones de firmware".
"Específicamente, estos sistemas están ejecutando procesadores Intel Broadwell y Haswell para el cliente y el centro de datos", confirmó Navin Shenoy, gerente general de Data Center Group de Intel.
"Estamos trabajando rápidamente con estos clientes para comprender, diagnosticar y solucionar este problema de reinicio. Si esto requiere una actualización de firmware revisada de Intel, distribuiremos esa actualización a través de los canales normales. También estamos trabajando directamente con los clientes del centro de datos para discutir el problema".
La declaración fue una confirmación del informe de The Wall Street Journal de que Intel está aconsejando discretamente a los clientes que demoren la instalación de parches que aborden los defectos porque tienen errores propios.
A los usuarios finales, por otro lado, se les volvió a decir que "continúen aplicando las actualizaciones recomendadas por sus proveedores de sistema y sistema operativo".
Detección y prevención de ataques
Si bien las organizaciones están evaluando qué sistemas reparar y con qué rapidez, algunas empresas de seguridad presentan soluciones iniciales y provisionales para detectar los ataques de Meltdown y Spectre.
Endgame y Capsule8 adoptaron un enfoque similar: aprovechando los contadores específicos de rendimiento de la CPU, utilizaron sus resultados para determinar las desviaciones que apuntan a los ataques en curso y forzar las interrupciones que desencadenan la aplicación de políticas de seguridad en cargas de trabajo de alta sensibilidad.
Como explicó el investigador de seguridad Kenneth White de manera sucinta y servicial:
Attackers: CPU, please beat the crap out the cache and tell me how long it takes.
— Kenn White (@kennwhite) 11 de enero de 2018
Defenders: CPU, please issue a hardware interrupt every 10,000 times someone beats the crap out of the cache, and notify the kernel
CPU: ?
Cody Pierce de Endgame se aseguró de puntualizar que esta investigación y soluciones iniciales, aunque prometedoras, están lejos de ser completas, y que su nueva clase de vulnerabilidad continuará desarrollándose durante varios años.
Pero el equipo de Capsule8 cree que, para muchos, la detección (o detección Y mitigación de vulnerabilidad) puede ser el camino correcto.
"Ninguna de las mitigaciones existentes son mitigaciones completas del problema", señalaron, y los golpes de rendimiento y la interrupción debidos a las actualizaciones (erróneas) podrían tener un efecto muy perjudicial en un servicio u organización.
"Si bien fue inspirador ver a los proveedores de la nube capaces de moverse tan rápido, va a haber una cola enormemente larga en las actualizaciones. La mayoría de las organizaciones nunca podrán actualizar su flota tan rápidamente. Sus entornos de producción a menudo ejecutan software antiguo en sistemas operativos antiguos, donde cualquier actualización conlleva una gran cantidad de riesgo. Es probable que sea más rentable enfocarse en las estrategias de detección y respuesta, en lugar de la mitigación total, particularmente cuando la probabilidad de un ataque práctico es baja para el entorno", señalaron.
Los investigadores de Check Point se concentraron en las anomalías, en el flujo de ejecución especulativa y fuera de orden, así como en las del comportamiento del proceso al tratar de filtrar datos secretos utilizando un canal lateral, como indicadores de ataque relativamente precisos.
