NetCAT: nuevo ataque permite a los hackers robar datos de forma remota de las CPU de Intel

- Seguridad
- Posted
- ¡Escribe el primer comentario!
- Visto 340 veces
No hace falta que un atacante tenga acceso fÃsico o cualquier malware instalado en una computadora objetivo
A diferencia de las vulnerabilidades anteriores del canal lateral reveladas en las CPU de Intel, los investigadores han descubierto una nueva falla que puede explotarse de forma remota a través de la red sin requerir que un atacante tenga acceso fÃsico o cualquier malware instalado en una computadora objetivo.
Denominado NetCAT, abreviatura de Network Cache ATtack, la nueva vulnerabilidad de canal lateral basada en la red podrÃa permitir a un atacante remoto detectar datos confidenciales, como la contraseña SSH de alguien, del caché de la CPU de Intel.
Descubierta por un equipo de investigadores de seguridad de la Universidad de Vrije en Amsterdam, la vulnerabilidad, registrada como CVE-2019-11184, reside en una función de optimización del rendimiento de Intel llamada DDIO, abreviatura de Data-Direct I/O, que por diseño otorga que dispositivos de red y otros periféricos acceden al caché de la CPU.
La DDIO viene habilitado de manera predeterminada en todos los procesadores Intel para servidores desde 2012, incluidas las familias Intel Xeon E5, E7 y SP.
Según los investigadores [PDF], el ataque de NetCAT funciona de manera similar a Throwhammer al enviar únicamente paquetes de red especialmente diseñados a una computadora especÃfica que tiene habilitada la función de acceso directo a memoria remota (RDMA).
La RDMA permite a los atacantes espiar los periféricos remotos del lado del servidor, como las tarjetas de red, y observar la diferencia de tiempo entre un paquete de red que se sirve desde la caché del procesador remoto frente a un paquete servido desde la memoria.
Aquà la idea es realizar un análisis de sincronización de pulsación de tecla para recuperar palabras escritas por una vÃctima usando un algoritmo de aprendizaje automático contra la información de tiempo.
"En una sesión SSH interactiva, cada vez que se presiona una tecla, los paquetes de red se transmiten directamente. Como resultado, cada vez que una vÃctima escribe un caracter en su consola dentro de una sesión SSH encriptada, NetCAT puede perder el tiempo del evento al perder la hora de llegada del paquete de red correspondiente", explica el equipo de VUSec.
"Ahora, los humanos tienen distintos patrones de escritura. Por ejemplo, escribir 's' después de 'a' es más rápido que escribir 'g' después de 's'. Como resultado, NetCAT puede operar análisis estadÃsticos de los tiempos entre paquetes de llegada en lo que se conoce como un ataque de tiempo de pulsación de tecla para filtrar lo que escribe en una sesión SSH privada".
"En comparación con un atacante local nativo, el ataque de NetCAT desde toda la red solo reduce la precisión de las pulsaciones de teclas descubiertas en un promedio de 11.7% al descubrir la llegada de paquetes SSH con una verdadera tasa positiva del 85%".
El equipo de VUSec también ha publicado un vÃdeo, como se muestra arriba, que demuestra un método para espiar sesiones SSH en tiempo real con nada más que un servidor compartido.
NetCAT se convierte en la nueva vulnerabilidad de canal lateral unida a la lista de otras peligrosas vulnerabilidades de canal lateral descubiertas en el último año, incluidas Meltdown y Spectre, TLBleed, Foreshadow, SWAPGS y PortSmash.
En su aviso, Intel reconoció el problema y recomendó a los usuarios que deshabiliten completamente la DDIO o al menos RDMA para hacer que tales ataques sean más difÃciles, o sugirieron limitar el acceso directo a los servidores desde redes no confiables.
La compañÃa asignó a la vulnerabilidad de NetCAT una calificación de gravedad "baja", describiéndola como un problema de divulgación de información parcial, y otorgó una recompensa al equipo de VUSec por la divulgación responsable.
ArtÃculos relacionados (por etiqueta)
- Asà es como los piratas informáticos de SolarWinds permanecieron sin ser detectados durante el tiempo suficiente
- ¿Qué es una CPU y qué hace?
- Nuevo ataque permite a los hackers eludir la protección del firewall y acceder a cualquier servicio TCP/UDP
- La botnet KashmirBlack secuestra miles de sitios que se ejecutan en populares plataformas de CMS
- Nuevo ataque de DÃa cero activo en Google Chrome - Actualiza ahora tu navegador
- ¡ALERTA! Hackers apuntan a dispositivos IoT con un nuevo malware de botnet P2P
Lo último de Jesús Cáceres
- Cómo obtener información de ubicación de una dirección IP
- Cuidado: un nuevo malware de Android con gusanos se propaga a través de WhatsApp
- El plan de Twitter para descentralizar las redes sociales
- Google rediseña la búsqueda móvil en Android e iOS para que sea más fácil de leer
- Compartir un eBook con tu Kindle podrÃa haber permitido a los hackers secuestrar tu cuenta
Deja tus comentarios
- Publicar comentario como invitado. RegÃstrate o ingresaa tu cuenta