No te preocupes si sientes un cierto déjà vu. Realmente da la sensación de que todo esto ha pasado ya. Sí, Zombieload es una nueva vulnerabilidad descubierta en procesadores Intel, y la solución puede afectar gravemente al funcionamiento de tu ordenador. Si te suena, es porque te acuerdas de Meltdown y Spectre, dos vulnerabilidades muy similares en algunos sentidos; y cuyas consecuencias aún se notan en nuestros sistemas.

Zombieload ha sido descubierta por un equipo de investigadores, y es sólo una de las cuatro nuevas vulnerabilidades que se acaban de hacer públicas; pero es sin duda, la que más nos puede afectar. Estos fallos tienen en común que permiten realizar ataques MDS (Mircoarchitectural Data Sampling); en otras palabras, permiten obtener datos de nuestro sistema, directamente desde las memorias caché y “buffers” del procesador.

Así es Zombieload, el nuevo bug de procesadores Intel

Al igual que Meltdown y Spectre, estas vulnerabilidades son de hardware, y no de software. Por lo tanto, lo que está mal es el diseño interno del procesador, y no Windows o el sistema operativo que estés usando. Esto tiene como consecuencia que las medidas de seguridad habituales no sirven de nada; un atacante podría obtener información incluso aunque tengamos los mejores antivirus o sistemas operativos.

zombies

Cada uno de las cuatro vulnerabilidades se centra en una caché de memoria diferente, como los “buffers” de carga o almacenamiento. Pero es Zombieload, que afecta al LFB, un buffer de llenado de línea que se activa cuando el sistema intenta cargar de la memoria caché de nivel 1 (donde se almacenan los datos antes de ser procesados por el procesador), y falla.

Esta zona de memoria almacena los datos que se iban a cargar, antes incluso de que todos los datos estén listos para ser escritos en la memoria caché. Esto es necesario para no “perder el hilo”, literalmente hablando; se usa en procesadores con Hyper-Threading, la tecnología de Intel que permite aprovechar ciclos de reloj no usados por el procesador para procesar un nuevo hilo. El problema es que, si el llenado de memoria caché falla, es ese buffer el que recibe los datos.

Permite robar datos sin que el antivirus se de cuenta

Normalmente, un programa no puede acceder a los datos de la memoria caché del procesador así como así; hay ciertas medidas de seguridad que lo impiden. Pero esas protecciones no son tan fuertes en estas memorias intermedias; si la carga de la memoria caché principal falla (o se hace que falle), un atacante podría leer el contenido de estas memorias. En ese caso, la CPU estaría usando “basura”, en otras palabras, código que no

zombieload 4

Eso implica que un hacker podría registrar absolutamente todo lo que hacemos y guardamos en nuestro ordenador. En la prueba de concepto publicada, los investigadores han creado un malware que es capaz de registrar las páginas web que visitamos, pero puede ir mucho más allá, saltandose protecciones como el cifrado de los datos o información importante registrada por otras apps.

Cómo saber si Zombieload afecta a mi ordenador

Todos los procesadores Intel vendidos a partir de 2011 están afectados por esta vulnerabilidad; pero se sospecha que puede afectar a procesadores vendidos hasta en el 2008. Por lo tanto, si has comprado un ordenador con procesador Intel en la última década, es muy probable que este problema te afecte.

zombieload 1

Para asegurarnos, podemos usar la herramienta lanzada por Microsoft para detectar el hardware del sistema y si tenemos instalados los primeros parches. Para usarla, tenemos que abrir Inicio y buscar “Powershell” sin las comillas. Hacemos click derecho y pulsamos en “Ejecutar como administrador”.

En la terminal que se abrirá, escribimos los siguientes comandos y pulsamos Intro después de cada uno:

$SaveExecutionPolicy = Get-ExecutionPolicy

Set-ExecutionPolicy RemoteSigned -Scope Currentuser  — pulsamos S cuando nos lo pida

Install-Module SpeculationControl — pulsamos S cuando nos lo pida

Por último, introducimos el comando “Get-SpeculationControlSettings”, sin las comillas. Esto nos mostrará información relacionada con nuestro sistema. Tenemos que fijarnos en “Hardware is vulnerable to MDS”; si es “True”, es que nuestro procesador es vulnerable a Zombieload y al resto de vulnerabilidades descubiertas.

zombieload 2

Cómo protegerse contra Zombieload

Intel fue avisada antes de la publicación de estos descubrimientos, y en este caso la compañía ha sido mucho más rápida en desarrollar soluciones. Al igual que Meltdown y Spectre, los parches desarrollados por Intel tienen que ser instalados a través de actualizaciones del sistema. Por lo tanto, lo único que tenemos que hacer es mantener nuestro ordenador actualizado.

En el caso de Windows, el primer parche contra Zombieland llegará con la May Update, la actualización de mayo de Windows 10. Apple por su parte ya ha lanzado macOS Mojave 10.14.5 con mitigaciones contra estos ataques.

Sin embargo, estas son sólo mitigaciones; como se trata de un bug de hardware, estos parches sólo podrán intentar impedir que un atacante se aproveche de estos bugs; pero no los taparán. Para realmente protegernos del todo, hace falta hacer un sacrificio que no todo el mundo querrá hacer.

El verdadero sacrificio para protegerse contra Zombieload

También al igual que Meldtown y Spectre, la verdadera solución de Zombieload supone perder rendimiento en el ordenador. Porque una manera de bloquear esta vulnerabilidad es simplemente desactivando el Hyper-Threading de los procesadores; y eso es justo lo que han hecho ya algunos.

Google, por ejemplo, ya ha lanzado una actualización para ChromeOS que busca mitigar estas vulnerabilidades desactivando Hyper-Threading por defecto. Y es algo que ya están recomendando otros fabricantes; por ejemplo, Microsoft afirma que si realmente queremos protegernos completamente ante estas vulnerabilidades, deberíamos desactivar Hyper-Threading.

intel hyper-threading

Desactivar el Hyper-Threading supone un gran impacto en el rendimiento. Si lo hacemos, notaremos que el ordenador va mucho más lento que antes, y que no está siendo tan aprovechado. Los sistemas que decidan desactivar esta funcionalidad provocarán muchas quejas, eso desde luego.

Por lo tanto, lo recomendable es mantener nuestro sistema operativo y nuestros programas actualizados a las últimas versiones. Sólo si estamos usando un ordenador con información crítica o extremadamente privada, y susceptible de ser robada, deberíamos desactivar el Hyper-Threading, algo que podemos hacer en la BIOS de nuestro ordenador.

Noticias relacionadas