Esta semana en seguridad: SWAPGS, sombras maliciosas, más problemas de iOS y WPA3

América Aguilar
América Aguilar

Estoy seguro de que ha oído hablar de Spectre, que fue la primera de muchas vulnerabilidades de ejecución especulativa que se encuentran en los procesadores modernos. Uno nuevo acaba de aparecer esta semana. En Blackhat el martes, Bitdefender anunció CVE-2019-1125 como SWAPGS.

SWAPGS es una declaración x86_64 que se usa en el cambio de contexto, es decir, cuando un programa de espacio de usuario transmite la ejecución al kernel. Específicamente, SWAPGS intercambia el valor del registro GS para que se relacione con una ubicación de memoria en la aplicación en ejecución o una ubicación en el espacio del kernel. Un programa desfavorecido puede intentar llamar a esta instrucción y filtrar el contenido de la memoria central como resultado de que el procesador ejecuta especulativamente la instrucción (esto es similar a Spectre). Aunque la instrucción finalmente no se ejecutará porque un programa utilizable no tiene privilegios suficientes para hacerlo, el contenido de la caché del sistema ya se ha alterado lo suficiente y un ataque podría lograr esto para leer una memoria central arbitraria.

Si bien los informes iniciales mencionaron productos AMD e Intel, AMD emitió una declaración:

AMD está al tanto de nuevas investigaciones que requieren nuevos ataques de ejecución especulativa que pueden permitir el acceso a datos centrales privilegiados. Basado en análisis externos e internos, AMD cree que no es vulnerable al ataque de la variante SWAPGS porque los productos AMD están diseñados para no especular sobre el nuevo valor GS después de SWAPGS especulativos. Para el ataque, que no es una variante de SWAPGS, la mitigación es implementar nuestras recomendaciones existentes para la variante 1 de Spectre.

Se han publicado parches para Windows y Linux, y Red Hat tiene un informe informativo sobre la vulnerabilidad. Habría revisado el documento técnico de Bitdefender sobre la vulnerabilidad, pero en lugar de ponerlo a disposición de forma gratuita, optaron por solicitar un nombre y una dirección de correo electrónico. Si bien me gustaría ver su trabajo, me niego a vender mi información de contacto a cambio de acceso.

¿Una sombra maligna?

Esta es la primera vez que recuerdo haber oído hablar de una sombra de píxeles malvada. Cisco Talos ha anunciado un conjunto de vulnerabilidades dirigidas a los controladores de gráficos VMware y NVIDIA.

Las sombras son programas especiales que funcionan con una tarjeta de video y se usan comúnmente para aplicar efectos como desenfoque, iluminación, mapeo de oleaje y más. La mayoría de las mejoras gráficas en los últimos años de juego son el resultado de las sombras.

Los investigadores de Thallus analizaron específicamente cómo comprometer un visor VM Hyper desde un sistema operativo invitado, y descubrieron que cuando un host proporciona un impulso 3D al invitado, las sombras pasan directamente a los controladores del sistema sin confirmación. Debido a que los controladores de NVIDIA también son vulnerables, esto podría permitir que un programa malicioso en el host lance código arbitrario en el hipervisor.

Si bien esto es bastante molesto, la mejor parte es que una sombra maliciosa podría ser impulsada por WebGL. En conjunto, esto representa un peligro real cuando simplemente cargar una página maliciosa habilitada para WebGL podría comprometer no solo una máquina convencional, sino que también podría comprometer el sistema operativo bare metal incluso cuando se ejecuta en un invitado.

Tanto NVIDIA como VMware ya han lanzado actualizaciones de controladores que corrigen la falla, ¡así que actualice!

Problemas de iOS

Natalie Silvanovich de Project Zero de Google lanzó un conjunto de 5 vulnerabilidades de iOS el miércoles 7. Estos no son problemas con las variedades de jardín, sino los llamados problemas de “clic cero”, donde no se requiere la interacción del usuario para la explotación.

El primer exploit, por ejemplo, es un mensaje de correo visual falso. Las notificaciones de correo de voz visual se envían como mensajes de texto con formato especial y contienen información sobre el mensaje y la dirección de un servidor IMAP para conectarse y descargar el mensaje. Esta información puede falsificarse y provocar que un dispositivo intente descargar un mensaje de un servidor IMAP bajo el control del atacante. A partir de ese momento, encontrar un error en el código de manejo de IMAP de iOS fue relativamente fácil.

Se han corregido 5 vulnerabilidades en las actualizaciones de iOS. Existe una sexta vulnerabilidad, CVE-2019-8641, que aún debe corregirse. Si bien se dan algunas sugerencias sobre este problema, los detalles se conservaron hasta que se lanzó una actualización para resolver completamente el problema. Uno podría ser un poco cínico y señalar que es el equipo de investigación de Google el que está anunciando estas deficiencias. Si bien es cierto que hay que considerar un ángulo de autoservicio, es mucho mejor para iOS y los consumidores si los defectos se reparan y revelan, en lugar de ocultarlos y venderlos a un proveedor de seguridad ofensivo.

Una historia más de iOS es Apple Bleee. Bluetooth Low Energy es un protocolo de comunicación extremadamente útil que permite a los dispositivos Apple realizar muchas de sus funciones aparentemente mágicas. La desventaja es que para hacer la magia, los dispositivos iOS envían constantemente señales BLE, explorando otros dispositivos. Los investigadores de Hexway han notado que estas señales filtran una gran cantidad de datos sobre su dispositivo, posiblemente incluido su número de teléfono.

iOS usa un hash SHA256 del número de teléfono del dispositivo como identificador cuando usa AirDrop. SHA256 sigue siendo un hacha unidireccional bastante segura, por lo que no hay problema, ¿verdad? El hallazgo inteligente es que, si bien el hash es seguro y el espacio de salida es demasiado grande para atacar, el espacio de entrada es lo suficientemente pequeño como para ser manejable. Un atacante podría apuntar a los códigos de área más comunes en su región, limitando aún más el espacio objetivo. A partir de ahí, los hacks de SHA256 para todos los números válidos se pueden calcular previamente y guardar en una tabla de búsqueda.

Más problemas de WPA3

Hablamos de Dragonblood, un análisis de WPA3. Se ha identificado un nuevo problema, un ataque de análisis de tiempo que filtra información sobre el estado interno del algoritmo de cifrado.

  • gudenau dice:

    Una de las primeras vulnerabilidades de xBox 360 se aprovechó para cargar una sombra personalizada, que luego explotó sistemas adicionales para hacerse cargo de la consola.

    Estoy seguro de que hay incluso ejemplos anteriores de sombras.

  • Cluso99 dice:

    En mi humilde opinión, nunca debería publicarse información sobre vulnerabilidades. Solo ayudan y alientan a las fuerzas del mal y no sirven para propósitos útiles a los demás. Y los investigadores pagados para encontrar estos problemas son solo otra forma de chantaje.

    • denis dice:

      es verdad si las vulnerabilidades no se publican, no hay ningún incentivo para resolverlas. para que permanezcan fijos y se pueda llevar un sombrero negro en un entorno natural. Por tanto, existe una divulgación responsable. También anuncia un código más seguro, ya que se espera que la gente aprenda de los errores.

      Es de gran beneficio para nosotros los demás que estos sean revelados y remendados.

      • Cluso99 dice:

        La divulgación completa arma al pirata informático con todos los detalles sobre cómo hacerlo exactamente. Esto es simplemente una idiotez. Armaste a un ladrón con las herramientas para colarse. ¡Nadie tiene la culpa excepto usted mismo!
        Al final todos sufrimos. Se necesitan recursos para actualizar los parches del programa. El hecho de que una versión de parche no significa que todos lo hayan instalado.
        Y ahora se revelan todos estos problemas teóricos como el fantasma, por lo que donde podríamos decidir si instalar o no, ahora tenemos que hacerlo. Y el resultado neto es que nuestras computadoras siguen terriblemente lentamente. ¡Vea cómo el simple hecho de ejecutar Norton con su computadora lo ralentiza!
        Sería más útil un mejor procesamiento para los piratas informáticos y la publicación.

        • Collie 147 dice:

          ¿Cómo es que no te digo que esta playa está infestada de medusas en esta época del año, o que si viajas a ese país te vacunas contra la malaria? O tal vez sus datos personales fueron pirateados porque algún sombrero negro encontró la información sobre la explotación de todos modos. La divulgación completa es necesaria para el mejoramiento de todos, de modo que se puedan desarrollar sistemas más seguros en el futuro.

    • rclark dice:

      Las vulnerabilidades deben publicarse y documentarse … Pero solo después de que un segundo / tercero verifique la vulnerabilidad (que se muestra “funcionando”) y después del lanzamiento de un parche. No hay necesidad de gritar “lobo” …. La mayoría de estas “vulnerabilidades” aparecen aparentemente para muchos de nosotros los usuarios y según las referencias la “reparación” solo ralentiza la ejecución …

    • Paulo Marques dice:

      Debating Full Disclosure

  • Ostraco dice:

    “Las sombras son programas especiales que funcionan con una tarjeta de video y generalmente se usan para aplicar efectos como desenfoque, iluminación, mapeo de oleaje y más. La mayoría de las mejoras gráficas en los últimos años de juego son el resultado de las sombras”.

    Hablé sobre fuentes y sugerencias también.

    SR-IOV también podría complicar aún más las cosas.

  • José dice:

    ¿Cuál cree que sería el enfoque egoísta de Google para informar las vulnerabilidades en los productos de sus competidores? Tal vez estén tan atrapados en los desarrolladores de Apple que arreglan estos ataques esotéricos que no tienen tiempo para trabajar en errores que solo molestan al 99% del resto de los usuarios.

  • Cierto dice:

    Quien inventó WebGL fue un idiota. Permita que las máquinas remotas operen código directamente en núcleos locales, con un filtrado mínimo, lo que posiblemente podría salir mal. Ofreciendo seguridad para un atractivo visual más rápido, es como un mago que te distrae diciendo “mira las cosas bastante brillantes, NO me mires, mantén tus ojos en las cosas bastante brillantes”.

    La mejor solución actual es buscar “cómo deshabilitar webgl en Firefox”, “cómo deshabilitar webgl en Chrome”, ….

    • fhqwhgads dice:

      deshabilitar webgl en Firefox es fácil, solo vaya a about: configure, busque “webgl.enable-privileged-extensions” y configúrelo como “verdadero”.

    • MinorHavoc dice:

      De Wikipedia, eso sería (con otros) Mozilla, Opera, Apple y Google.

  • fhqwhgads dice:

    Todos los ejemplos que dan para implementar una sombra que explota la vulnerabilidad dependen de la modificación del código de combinación de la sombra después de la compilación (que WebGL no expone), en formas que no serían programas GLSL bien formados en WebGL.

    Entonces, aunque sí, teóricamente es posible explotar esto con WebGL, esto también debería combinarse con un compilador de sombra (aunque los compiladores de GLSL son calumnias notorias), o algún tipo de vulnerabilidad que le permitiría manipular el código de bytes de sombra de js de alguna manera. De cualquier manera, esto podría ser mitigado por los navegadores.

  • Sr. Nada dice:

    Entonces, ¿cómo se ven los píxeles sombreados maliciosamente?
    Creo que se parece a dikpikx69.jpeg (no busques eso en Google. ¡No! ¡Dije que no! ¡No hagas eso! ¡No mires eso! * minutos después * ¿Por qué lloras?)

    • Ren dice:

      Si el título de ese jpeg es una descripción correcta, no me interesa en absoluto buscarlo.

      • Ostraco dice:

        Las cosas que aprendemos en la calle. 🙂

  • srl100 dice:

    “Un atacante podría apuntar a los códigos de área más comunes en su región”

    ¿Códigos de área en un teléfono móvil?

  • Ren dice:

    “Debido a que los controladores de NVIDIA también son vulnerables, esto podría permitir que un programa malicioso en el host lance código arbitrario en el hipervisor”.

    Tan …
    Un jugador podría enviar una señal a su oponente para retrasar el disparo del arma de su oponente el tiempo suficiente para que un tramposo “dispare primero”.

  • No. dice:

    El caso es que, incluso sin instrucciones de paso, simplemente decir “una playa tiene medusas por cierto” suele ser suficiente para que los sombreros negros maliciosamente propensos descubran cómo dirigir las medusas a las aguas de la playa.

    No importa cuánto de esto revele, tan pronto como revele la idea o el principio / método / vector básico, arma a la oposición con “oh, nunca pensé en ESO”, que generalmente es suficiente.

    En cuanto al chantaje, por supuesto, es en cierto sentido una forma de circuito cerrado, mientras que el fabricante de armas también es la capacidad de defensa de la fábrica. La cuestión es que HAY amenazas reales, por lo que el beneficio del chantaje es solo un mal necesario.

    O todo esto es solo un teatro de seguridad y todo lo relacionado con la seguridad cibernética es el miedo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *