Demandan a Intel por conocer la existencia de Downfall desde 2018 y no hacer nada
A lo largo de toda la historia de los procesadores de Intel y AMD, hemos visto ciertos momentos donde la seguridad de estos estaba muy comprometida. Debido a las brechas de seguridad y vulnerabilidades que aparecían, se requería el uso de parches para mitigarlas. En el caso de la vulnerabilidad Downfall que afecta a CPU Intel, esta ha recibido una demanda por parte de varios clientes, asegurando que la compañía sabía de su existencia y no hizo nada.
Cuando se descubre una brecha de seguridad a nivel de hardware en un procesador, se puede realizar un exploit de dicha vulnerabilidad, dejando a la CPU completamente expuesta al control de un atacante. Hemos visto ya muchas vulnerabilidades en estos últimos años, destacando a Spectre como una de ellas, ya que afectó a prácticamente todas las CPU durante años. Sin embargo, esta no es ni de lejos la única que se conocía desde hace años, al menos según la última demanda contra Intel.
Demandan a Intel por conocer la vulnerabilidad Downfall desde 2018 y no hacer nada
Una demanda presentada por cinco compradores de CPU Intel, asegura que la compañía era consciente de la vulnerabilidad llamada Downfall desde 2018. Esto choca teniendo en cuenta que empezamos a saber de ella públicamente a partir de este verano de 2023, 5 años después. De hecho, en cuanto se reveló su existencia y los medios hablaban de lo peligrosa que era, Intel lanzó un parche inmediatamente.
La mitigación, si bien bienvenida desde el punto de vista de la seguridad, fue un desastre en cuanto a rendimiento. Y es que, se notificaron pérdidas de rendimiento del 39% e incluso del 50% al instalarse este parche para Downfall. De hecho, ya esperábamos una demanda a finales de agosto y esta efectivamente se ha cumplido ahora. Downfall realiza un ataque aprovechando las instrucciones AVX2 y AVX-512, afectando más a CPU antiguas como Tiger Lake y Ice Lake. Este ataque puede acabar resultando en un robo de datos a gran escala y de ahí la necesidad de lanzar una mitigación.
Acusan a la compañía de facilitar el acceso a los atacantes
La demanda no surge precisamente por la pérdida de rendimiento del parche, sino por el hecho de que Intel teóricamente sabía de la existencia de Downfall desde 2018. La compañía azul solo se puso a trabajar en un parche cuando ya todo se había descubierto. Además, culpan a Intel de haber implementado lo que denominan como "búferes secretos" relacionados con las instrucciones AVX. Esto surgió como un intento de suprimir los ataques de la vulnerabilidad durante un tiempo, pero resultaron insuficientes.
De hecho, los demandantes creen que estos búferes secretos hicieron un efecto contrario, permitiendo que se descubriera una puerta trasera en los procesadores de Intel. A partir de ahí, los atacantes podían usar las instrucciones AVX para revelar datos ubicados en la memoria, incluyendo las claves de cifrado AES. Por el momento Intel no ha contestado a la demanda por la vulnerabilidad Downfall, por lo que habrá que esperar para ver como se desenvuelve y si acaba en juicio.