La nueva vulnerabilidad Downfall permite robar claves y datos en 5 generaciones de CPU Intel
De nuevo y siendo la segunda del día, se ha revelado con motivo del BlackHat USA, que se celebra en el día de hoy, una nueva vulnerabilidad para CPU Intel. También será comentada en el Simposio de seguridad USENIX en dos días, donde se darán más datos, pero en cualquier caso y a la espera de los resultados concretos, lo que tenemos es algo realmente grave, puesto que destroza la seguridad y también el rendimiento en ciertos escenarios de 5 generaciones de procesadores con una cantidad de productos inmensa, sobre todo de servidor. Así es Downfall para las CPU Intel.
Sin paliativos, la vulnerabilidad es grave y os adelantamos que será mucho peor para los procesadores de servidor que para escritorio, donde, en teoría, un parche a modo de firmware corregiría todo el problema y, de nuevo en teoría, no le costaría al usuario común nada de rendimiento en tareas del día a día.
Downfall, Intel vuelve a ver como muchas de sus CPU no son seguras
La seguridad es algo relativo, ya que ningún sistema en el mundo es 100% seguro, pero como fabricante de procesadores verte lastrado por algo de este calibre no es un buen marketing. Pero demos algo de aire a los azules, puesto que esto afecta a 5 generaciones de CPU que van desde el 2015 hasta el 2019 (INTEL-SA-00828), es decir, desde Skylake con los Core 6000 hasta los Tiger Lake con los Core 11, ambos incluidos.
No importa si es una CPU de servidor o de consumo, estará afectada y tendrá que ser parcheada, pero, ¿qué hace a Downfall tan dañina para las CPU Intel? Daniel Moghimi, el investigador de la vulnerabilidad, lo ha explicado brevemente y de forma simplificada en este primer simposio:
"La vulnerabilidad es causada por las funciones de optimización de memoria en los procesadores Intel que revelan involuntariamente los registros internos del hardware al software. Esto permite que el software que no es de confianza acceda a los datos almacenados por otros programas, que normalmente no deberían ser accesibles.
Descubrí que la instrucción Gather, destinada a acelerar el acceso a datos dispersos en la memoria, filtra el contenido del archivo de registro de vector interno durante la ejecución especulativa."
La instrucción Gather a escena
En las CPU Intel es usada dentro de las unidades SIMD que tienen soporte para operaciones de recopilación y dispersión en cuanto a vectores. En otras palabras, AVX. Si no estamos equivocados, la vulnerabilidad afecta a los procesadores con soporte para AVX2 y AVX-512, sin discriminar servidores o PC.
Con esto en mente y sabiendo que se va a parchear para cubrir esta instrucción y su efecto, el rendimiento de los procesadores al usarla en estos entornos concretos podría producir un Overhead gigantesco que, según Moghimi, hará caer el rendimiento del procesador usado en un 50%.
Decimos "podría" porque los azules se han pronunciado al respecto afirmando que tienen un "mecanismo de exclusión voluntaria" que llegará en los firmware que permitirá desactivar la mitigación de Downfall en las CPU Intel.
Esto, según afirman, evitará el impacto en el rendimiento en ciertas cargas de trabajo en cuanto a vectorización (AVX). Por lo tanto, y dado que afecta a servidores por todo el mundo, hay que esperar a las primeras pruebas para ver cómo afecta y cuánto afecta una vez que el firmware y el SO en cuestión, sea Windows o Linux en cualquiera de sus variantes, tengan el update.
Comunicado oficial por parte de Intel España tras leer esta noticia:
"El investigador de seguridad, trabajando en las condiciones controladas de un entorno de investigación, demostró el problema de GDS, que se basa en software que utiliza instrucciones Gather. Aunque este ataque sería muy complejo de llevar a cabo fuera de tales condiciones controladas, las plataformas afectadas tienen una mitigación disponible a través de una actualización de microcódigo.
Los procesadores Intel más recientes, incluidos Alder Lake, Raptor Lake y Sapphire Rapids, no están afectados. Muchos clientes, después de revisar la guía de evaluación de riesgos de Intel, pueden decidir desactivar la mitigación a través de interruptores disponibles en los sistemas operativos Windows y Linux, así como en los VMM. En entornos de nube pública, los clientes deben comprobar con su proveedor la viabilidad de estos interruptores".