Intel impulsó el martes actualizaciones de microcódigo para corregir un error de CPU de alta gravedad que tiene el potencial de ser explotado maliciosamente contra hosts basados en la nube.
La falla, que afecta prácticamente a todas las CPU Intel modernas, hace que «entren en un estado de falla donde las reglas normales no se aplican», informó Tavis Ormandy, uno de los varios investigadores de seguridad dentro de Google que descubrieron el error. Una vez desencadenado, el estado de falla da como resultado un comportamiento inesperado y potencialmente grave, en particular fallas del sistema que ocurren incluso cuando se ejecuta código que no es de confianza dentro de una cuenta de invitado de una máquina virtual, que, según la mayoría de los modelos de seguridad en la nube, se supone que está a salvo de tales fallas. La escalada de privilegios también es una posibilidad.
comportamiento muy extraño
El error, rastreado bajo el nombre común Reptar y la designación CVE-2023-23583, está relacionado con la forma en que las CPU afectadas administran los prefijos, que cambian el comportamiento de las instrucciones enviadas por el software en ejecución. La decodificación Intel x64 generalmente permite ignorar los prefijos redundantes (es decir, aquellos que no tienen sentido en un contexto determinado) sin consecuencias. Durante las pruebas realizadas en agosto, Ormandy notó que el REX El prefijo generaba «resultados inesperados» cuando se ejecutaba en CPU Intel que admiten una característica más nueva conocida como movimiento de repetición corta y rápida, que se introdujo en la arquitectura Ice Lake para solucionar los cuellos de botella de microcodificación.
Se produjo un comportamiento inesperado al agregar los prefijos rex.r redundantes al archivo optimizado para FSRM. rep mov operación. Ormandy escribió:
Observamos un comportamiento muy extraño durante las pruebas. Por ejemplo, bifurcaciones a ubicaciones inesperadas, bifurcaciones incondicionales que se ignoran y el procesador ya no registra con precisión el puntero de instrucción en xsave o instrucciones de llamada.
Curiosamente, al intentar comprender lo que estaba sucediendo, veíamos un depurador que informaba estados imposibles.
Esto ya parecía indicar un problema grave, pero a los pocos días de experimentar descubrimos que cuando varios núcleos desencadenaban el mismo error, el procesador comenzaba a informar excepciones de verificación de la máquina y se detenía.
Verificamos que esto funcionó incluso dentro de una máquina virtual invitada sin privilegios, por lo que esto ya tiene serias implicaciones de seguridad para los proveedores de la nube. Naturalmente, informamos esto a Intel tan pronto como confirmamos que se trataba de un problema de seguridad.
Jerry Bryant, director senior de Respuesta a Incidentes y Comunicaciones de Seguridad de Intel, dijo el martes que los ingenieros de la compañía ya estaban al tanto de un «error funcional» en plataformas de CPU más antiguas que podría resultar en una denegación temporal de servicio y habían programado una solución para el próximo marzo. La clasificación de gravedad se había fijado provisionalmente en 5 sobre 10 posibles. Esos planes se vieron interrumpidos tras descubrimientos en Intel y más tarde en Google. Bryant escribió:
Gracias a la diligencia y experiencia de los investigadores de seguridad de Intel, posteriormente se descubrió un vector que podría permitir una posible escalada de privilegios (EoP). Con una puntuación CVSS 3.0 actualizada de 8,8 (alta), este descubrimiento cambió nuestro enfoque para mitigar este problema para nuestros clientes y adelantamos la actualización para alinearnos con las divulgaciones ya planificadas para noviembre de 2023.
Mientras preparábamos el paquete de actualización de la plataforma Intel de febrero de 2024 para la validación del cliente, recibimos un informe de un investigador de Google sobre el mismo problema de TDoS descubierto internamente. El investigador citó una política de divulgación de 90 días de Google y que se harían públicas el 14 de noviembre de 2023.
Crisis (con suerte) evitada
El boletín oficial de Intel enumera dos clases de productos afectados: los que ya fueron reparados y los que se solucionaron mediante actualizaciones de microcódigo publicadas el martes. En concreto, estos productos cuentan con la nueva actualización del microcódigo:
| Colección de productos | Segmento vertical | identificación de la CPU | ID de plataforma |
| Familia de procesadores Intel Core de décima generación | Móvil | 706E5 | 80 |
| Familia escalable de procesadores Intel Xeon de tercera generación | Servidor | 606A6 | 87 |
| Procesador Intel Xeon D | Servidor | 606C1 | 10 |
| Familia de procesadores Intel Core de 11.ª generación | Escritorio
Incorporado |
A0671 | 02 |
| Familia de procesadores Intel Core de 11.ª generación | Móvil
Incorporado |
806C1
806C2 806D1 |
80
C2 C2 |
| Procesador Intel para servidor | Servidor
Incorporado |
A0671 | 02 |
Una lista exhaustiva de las CPU afectadas está disponible aquí. Como es habitual, las actualizaciones de microcódigo estarán disponibles a través de los fabricantes de dispositivos o placas base. Si bien no es probable que las personas enfrenten ninguna amenaza inmediata debido a esta vulnerabilidad, deben consultar con el fabricante para obtener una solución.
Las personas con experiencia en instrucción y decodificación x86 deberían leer la publicación de Ormandy en su totalidad. Para todos los demás, la conclusión más importante es la siguiente: «Sin embargo, simplemente no sabemos si podemos controlar la corrupción con la suficiente precisión como para lograr una escalada de privilegios». Eso significa que no es posible que personas ajenas a Intel conozcan el verdadero alcance de la gravedad de la vulnerabilidad. Dicho esto, cada vez que el código que se ejecuta dentro de una máquina virtual puede bloquear el hipervisor en el que se ejecuta la VM, los proveedores de la nube como Google, Microsoft, Amazon y otros se darán cuenta de inmediato.
En una publicación separada, los funcionarios de Google escribieron:
El impacto de esta vulnerabilidad se demuestra cuando la explota un atacante en un entorno virtualizado multiinquilino, ya que el exploit en una máquina invitada provoca que la máquina host falle, lo que provoca una denegación de servicio a otras máquinas invitadas que se ejecutan en el mismo host. Además, la vulnerabilidad podría conducir a la divulgación de información o a una escalada de privilegios.
La publicación decía que Google trabajó con socios de la industria para identificar y probar las mitigaciones exitosas que se han implementado. Es probable que ya se haya evitado cualquier crisis potencial, al menos en los entornos de nube más grandes. Es posible que los servicios de nube más pequeños aún tengan trabajo por hacer.