Guía: Zombieload (MDS) ¿Qué es? ¿Estoy afectado? ¿Qué hago?

(Última actualización: mayo 22, 2019)

Guía: Zombieload (MDS) ¿Qué es? ¿Estoy afectado? ¿Qué hago?

El 2019 ha sido el año de la invasión de ataques de canal lateral y Zombieload (mayormente conocido como MDS) se agrega a la lista con otros conocidos como Spectre y Meltdown. Queremos “subrayar” que en XanxoGaming no somos expertos en seguridad, pero informaremos todo lo que hemos recopilado, como también nuestra opinión personal sobre el nuevo tipo de ataque y recomendación de que hacer al respecto como gamer.

Zombieload Attack MDS Guia

¿Qué es Zombieload (MDS)?

La página de Zombieload attack (de la Universidad Tecnológica de Graz) dice lo siguiente:

“El ataque ZombieLoad permite robar datos y claves confidenciales mientras la computadora accede a ellos.

Mientras que los programas normalmente solo ven sus propios datos, un programa malintencionado puede explotar los buffers llenos para obtener los secretos procesados ​​actualmente por otros programas en ejecución. Estos secretos pueden ser secretos a nivel de usuario, como el historial del navegador, el contenido del sitio web, las claves de usuario y las contraseñas, o secretos a nivel del sistema, como las claves de cifrado del disco.

El ataque no solo funciona en computadoras personales, sino que también puede ser explotado en la nube.”

Aquí un ejemplo del ataque en ejecución pese a que se usa un navegador de privacidad seguro (Tor Browser) en una máquina virtual.

Toda la ficha informativa del nuevo ataque en este link.

¿Qué procesadores son afectados?

Casi todos los procesadores modernos de Intel, sean Intel Core o Xeon, desde el 2011, a excepción de unos recientes. Si estuvieron al tanto de una noticia muy peculiar, Intel anunció el mes pasado, un nuevo stepping en sus procesadores y nueva actualización de BIOS para este nuevo “stepping”.

Esta siguiente parte es especulación mía, pero este nuevo “stepping” que ocurrió en ese entonces, era la corrección a nivel de hardware para mitigar el nuevo ataque MDS.

Esto quiere decir, procesadores de 7ma generación para abajo, son susceptibles a este tipo de ataque.

Más adelante en el artículo, pondremos una tabla para procesadores de 8va y 9na generación que ya tienen corrección a nivel de hardware (aunque son pocos).

¿Procesadores AMD están afectados?

Por el momento, no.

¿Esto es un error de software?

No, esto es netamente a nivel de hardware y no hay corrección, sólo mitigaciones.

¿Quiénes son los más afectados?

Bueno, los que tienen más que perder o tener mayor preocupación dentro de todos los usuarios/consumidores de Intel, son los que usan servidores, servicios en la nube/virtualización. Para empresas de tan grande magnitud, la seguridad es esencial.

La sugerencia del equipo de investigación de la Universidad Tecnológica de Graz, equipo que estuvo detrás de esta nueva vulnerabilidad, es deshabilitar Hyper-Threading.

¿Qué es Hyper-Threading?

Hyper-Threading es la tecnología de Intel de núcleos virtuales. Por ejemplo, cuando uno compraba un procesador Intel Core i7 7700K, uno veía dentro de sus especificaciones, 4 núcleos, 8 hilos. Esos hilos, son 4 núcleos físicos y 4 núcleos virtuales más mediante la tecnología de Hyper-Threading de Intel.

Procesadores que no cuentan con esta tecnología, al parecer no son afectados.

¿Pierdo performance al deshabilitar Hyper-Threading?

Sí, es un 40% aproximadamente. Apple ha comenzado dar algunas actualizaciones de seguridad en sus sistemas, para mitigar el riesgo posible de un ataque MDS, mediante el deshabilitado de HT en laptops Mac con procesadores Intel.

¿Cuán real es la amenaza?

La amenaza existe y es real, pero en la actualidad no existe alguna herramienta para “hackear” usando MDS. Para usuarios comunes, como un gamer, la amenaza existe, pero es pequeña. Daremos nuestro análisis y sugerencias al final al respecto.

Los que, si tienen que estar preocupados, como antes mencionados, son las empresas que tienen servidores y manejan información privilegiada de usuarios. Esto incluye servicios en la nube, ya que, si se desarrolla un ataque, probablemente donde hay mayores ganancias (para hackers) es hacia este tipo de instituciones.

En pocas palabras, la amenaza actualmente está a nivel teórico, pero empresas grandes no pueden tomar ningún tipo de riesgo.

¿Qué está haciendo Intel ante este problema?

Intel, hizo un comunicado el 14 de mayo, explicando del tema y lo que hará frente a este nuevo tipo de ataque. Las mitigaciones vienen de dos tipos:

-Mitigación mediante actualización de micro-código + software (Windows, Linux, etc).
-Mitigación mediante hardware.

Prácticamente todos los procesadores fabricados antes de abril del 2019, son susceptibles ante Zombieload. Son sólo algunos procesadores nuevos de 8va y 9na generación y Xeon (abril 2019 hacia adelante) que vienen con correcciones a nivel de hardware.

Las actualizaciones de micro-código probablemente vengan mediante los fabricantes de placa madre, mientras que las mitigaciones de software, vendrán mediante parches (que ya han sido lanzados) para Windows (Microsoft) como también para Linux.

¿Cuán efectivos son estas mitigaciones de software y actualizaciones de micro-código?

Aquí es donde viene el debate. Según investigaciones de varios ingenieros de Google, no existe forma real en la actualidad de mitigar este tipo de ataques al 100% y los parches de micro-código y de software, sólo aumentan algunas capas de protección, pero no lo hace 100% seguro.

Según el informe técnico, en cuanto a mitigaciones mediante software, estamos en etapa de infancia. Todo lo que se creía sobre seguridad mediante software ha sido completamente derrotado…

Volviendo al tema de que procesadores… ¿Qué procesadores Intel de 8va y 9na generación tienen corrección a nivel de hardware?

Intel fue amable/responsable de dar la suficiente documentación para saber si uno está afectado por esto. Ya concluimos que todo procesador de 7ma generación hacia abajo está afectado…

Los procesadores que tienen protección de seguridad de hardware ante Zombieload (MDS) son los siguientes:

-Intel64 Family 6 Model 158 Stepping 13 (9na generación)
-Intel64 Family 6 Model 142 Stepping 12 (8va generación)
-2nd Generation Intel® Xeon® Processors (Formerly Cascade Lake)

Intel64 Family 6 Model 158 Stepping 13 (9na generación)

Incluye estos procesadores:

OJO: TIENEN QUE REVISAR QUE STEPPING ESTA SU PROCESADOR. HAY PROCESADORES 9900K QUE USAN STEPPING 12 QUE NO TIENEN MITIGACION POR HARDWARE. LES ENSEÑAREMOS COMO REVISAR EN QUE STEPPING ESTA SU PROCESADOR EN LA PROXIMA SECCION.

-Intel® Core™ i9-9900K Processor
-Intel® Core™ i7-9700K Processor
-Intel® Core™ i5-9600K Processor
-Intel® Core™ i9-9900KF Processor
-Intel® Core™ i7-9700KF Processor
-Intel® Core™ i5-9600KF Processor
-Intel® Core™ i9-9900 Processor
-Intel® Core™ i9-9900T Processor
-Intel® Core™ i7-9700 Processor
-Intel® Core™ i7-9700T Processor
-Intel® Core™ i5-9400 Processor
-Intel® Core™ i7-9700F Processor
-Intel® Core™ i5-9500F Processor
-Intel® Core™ i5-9400F Processor
-Intel® Core™ i9-9980HK Processor
-Intel® Core™ i9-9880H Processor
-Intel® Core™ i7-9850H Processor
-Intel® Core™ i7-9750H Processor
-Intel® Core™ i5-9400H Processor
-Intel® Core™ i5-9300H Processor

Intel64 Family 6 Model 142 Stepping 12 (8va generación)

Incluye estos procesadores:

OJO: TIENEN QUE REVISAR QUE STEPPING ESTA SU PROCESADOR. HAY PROCESADORES 9900K QUE USAN STEPPING 12 QUE NO TIENEN MITIGACION POR HARDWARE. LES ENSEÑAREMOS COMO REVISAR EN QUE STEPPING ESTA SU PROCESADOR EN LA PROXIMA SECCION.

-Intel® Core™ i7-8665U Processor
-Intel® Core™ i7-8565U Processor
-Intel® Core™ i5-8365U Processor
-Intel® Core™ i5-8265U Processor
-Intel® Core™ i3-8145U Processor
-Intel® Celeron® Processor 4305U
-Intel® Celeron® Processor 4205U
-Intel® Pentium® Gold 5405U Processor

Nota: Lamentablemente, no hay corrección al popular Intel i7 8700K, solo los procesadores en la lista bajo el Stepping 12.

2nd Generation Intel® Xeon® Processors (Formerly Cascade Lake)

Link de lista complete: Intel ARK

https://ark.intel.com/content/www/us/en/ark/products/series/192283/2nd-generation-intel-xeon-scalable-processors.html

¿Cómo ver que revisión de procesador tengo?

Esta pregunta es bastante importante, ya que esta información no puede ser vista por CPU-Z o AIDA64. Es sencillo revisar usando los siguientes pasos:

1). Abrir CMD en Windows en modo administrador.
2). Poner el siguiente comando.

wmic cpu get caption

Pueden ver la captura a continuación. El procesador Intel i9 9900K fue prestado por Intel (agradecimiento a Intel por el gesto).

Intel CPU Revision 9990K

¿Qué impacto tiene las mitigaciones de micro código de Intel (MCU) y de software para un gamer?

Hasta la fecha, los únicos (que confiamos) que han hecho algún tipo de benchmark con las nuevas mitigaciones en juegos, es el portal PHRONIX (link al artículo aquí). Es un portal dirigido hacia Linux, pero según sus pruebas, la mitigación de software y MCU es prácticamente imperceptible (buena noticia para el gamer).

Ojo, para sus pruebas, no deshabilitaron Hyper-Threading.

¿Qué impacto tiene las mitigaciones de micro código de Intel (MCU) y de software para servidores y proveedores en la nube?

PHRONIX también hizo pruebas con HT habilitado y con las migitaciones de micro-código y software en benchmarks sintéticos y reales para LINUX. A diferencia de gaming, en ciertas cargas existe una penalidad real.

Si deshabilitan el Hyper-Threading (algo que es fuertemente sugerido para servidores y proveedores de servicios de nube según varios expertos y estudios) la pérdida de performance es mayor.

Si son usuarios de este tipo de uso, servidores, servicios de nube, virtualización y usan LINUX, sugerimos darse una vuelta por el portal Phronix, ya que han hecho varias pruebas la última semana.

¿Qué sugerimos hacer en XanxoGaming y nuestro análisis?

Como dijimos al comienzo, no somos expertos en seguridad de informática, pero esto es lo que haré personalmente.

Ante todo, mi análisis sobre Zombieload (MDS) es que la amenaza es real, pero no hay indicios que existan ataques perpetuados a individuos o instituciones mediante este método.

En lo personal, no deshabilitaré Hyper-Threading. Entre sugerir si habilitar o deshabilitar el HT, lo dejo bajo su riesgo y discreción.

LO QUE, SI SUGIERO HACER SIN DUDA ALGUNA, es actualizar BIOS en sus placas madres, cuando salga la actualización de micro-código de Intel y mantener el BIOS de sus placas madre al día. Lo segundo, si usan Windows 10 como sistema operativo, mantenerlo al día.

En el caso que comience a salir noticias de ataques reales por hackers usando MDS a una escala preocupante, si es que las correcciones a nivel de software y MCU no parecen ser lo suficiente, en ese caso, deshabiliten HT. Esto es en un escenario a futuro…


Espero que esta guía e información les haya sido de utilidad. Nosotros tratamos de ser una media seria (con una pizca de gracia de vez en cuando) pero no nos agrada hacer una bola de nieve cuando no hay indicaciones (nivel pandemia) cuando no existe.

Sí creemos que el público debe estar informado de lo que es real y lo que puede ser exagerado. Informar al público, especialmente al gamer, será siempre nuestra prioridad.

Si existe alguna actualización a futuro, esperamos mantener este documento al día de las novedades.

Si te gustó este artículo, nos ayudas bastante haciendo like, share. Si tienen alguna duda, pueden seguirnos en nuestras redes sociales:

Facebook
Twitter
Youtube
Instagram
Twitch

A %d blogueros les gusta esto: