Intel, uno de los fabricantes de chips más importantes de todo el mundo y con gran presencia en España, ha lanzado recientemente actualizaciones de microcódigo para corregir un error de seguridad de CPU de alta gravedad. La compañía, que tiene una nueva fábrica donde impulsa procesadores de 4 nanómetros europeos, ha señalado que este fallo afectaba a sus microprocesadores de ordenadores, móviles y de servidor, y que tiene el potencial de ser explotado maliciosamente contra servidores basados en la nube.
El error afecta virtualmente a todas las CPUs -la unidad central de procesamiento y uno de los componentes vitales de un ordenador o un móvil- modernas de Intel, según ha indicado en un comunicado Travis Ormandy, uno de los investigadores de seguridad del centro de Google que lo han descubierto. El problema "hace que las CPUs entren en un estado de fallo donde las reglas normales no se aplican", ha señalado. Por lo que es importante actualizar ya mismo el PC.
Cuando se desencadena, este error genera un comportamiento imprevisto y potencialmente grave. Entre las consecuencias más destacadas se encuentran los bloqueos del sistema, que pueden ocurrir incluso al ejecutar código no confiable dentro de una cuenta de invitado en una máquina virtual. Este tipo de fallo es particularmente preocupante, ya que, según la mayoría de los modelos de seguridad en la nube, se espera que dicha cuenta esté protegida contra tales problemas. Además, existe la posibilidad de escalada de privilegios.
"Un comportamiento extraño"
El error, identificado como Reptar con la designación CVE-2023-23583, está vinculado a la forma en que las CPUs afectadas gestionan los prefijos que alteran el comportamiento de las instrucciones emitidas por el software en ejecución. La decodificación Intel x64 generalmente permite la omisión de prefijos redundantes, es decir, aquellos que carecen de sentido en un contexto específico, sin consecuencias.
Durante las pruebas realizadas en agosto, Ormandy observó que el prefijo REX generaba "resultados inesperados" al ejecutarse en procesadores de Intel compatibles con una función más reciente conocida como movimiento rápido de repetición corta, introducido en la arquitectura Ice Lake para abordar cuellos de botella en el microcódigo.
"Observamos algunos comportamientos muy extraños durante las pruebas. Por ejemplo, ramificaciones a ubicaciones inesperadas, ramificaciones incondicionales que se ignoran y el procesador ya no registra con precisión el puntero de instrucciones en instrucciones xsave o call. Curiosamente, al intentar entender lo que estaba sucediendo, ¡veíamos un depurador informando estados imposibles!", ha señalado Ormandy.
El investigador ha indicado que esto ya parecía indicar un problema grave, "pero después de unos días de experimentos encontramos que cuando varios núcleos activaban el mismo error, el procesador empezaba a informar excepciones de verificación de máquina y se detenía. Verificamos que esto funcionaba incluso dentro de una VM (máquina virtual) de invitado no privilegiada, por lo que esto ya tiene serias implicaciones de seguridad para los proveedores de servicios en la nube. Naturalmente, informamos esto a Intel tan pronto como confirmamos que era un problema de seguridad", ha señalado Ormandy.
Una actualización disponible
Jerry Bryant, director senior de Respuesta a Incidentes y Comunicaciones de Seguridad de Intel, ha señalado en un comunicado que los ingenieros de la compañía ya conocían la existencia de un "error funcional" en plataformas de CPU más antiguas que podría provocar una denegación de servicio temporal y que habían programado una solución para el próximo marzo. Una situación que habían calificado de 5 sobre 10 en cuanto a su gravedad. Poco después recibieron el informe del investigador sobre el mismo problema.
El boletín oficial de Intel lista dos clases de productos afectados. Estos son aquellos que ya se corrigieron y los que se corrigen mediante las actualizaciones de microcódigo lanzadas ayer, martes; entre los que se encuentran los procesadores Intel Core de 11 generación o el procesador Intel Xeon D. La empresa ha publicado el microcódigo actualizado para todos los procesadores afectados como parte de sus actualizaciones de noviembre de 2023.
[Norberto Mateos (Intel): "La IA debe ser transparente para que el usuario pueda decidir"]
Por lo tanto, es importante que los usuarios la implementen lo antes posible, aunque cabe señalar que por el momento no hay evidencia de que se hayan realizado ataques que aprovechen esta vulnerabilidad. Al mismo tiempo trabajadores de Google han señalado que "el impacto de esta vulnerabilidad se demuestra cuando es explotada por un atacante en un entorno virtualizado de varios inquilinos".
Asimismo, también han indicado que "el exploit en una máquina invitada provoca que la máquina anfitriona se bloquee, lo que resulta en una denegación de servicio para otras máquinas invitadas que se ejecutan en el mismo anfitrión. Además, la vulnerabilidad podría potencialmente llevar a la divulgación de información o la escalada de privilegios".
También te puede interesar...
- El ingeniero murciano que triunfa en Intel desarrollando chips para IA: "Es una nueva era"
- Intel quiere luchar contra AMD: renombra sus procesadores y anuncia nuevas arquitecturas
- Intel invierte 20.000 millones para construir una nueva fábrica de chips y combatir la escasez
- Ignacio Jiménez (Intel): "La gente que juega en consola, tablet o móvil termina en un ordenador"