Se publica el parche de fallas de Intel Reptar para la vulnerabilidad de la CPU
Intel ha publicado recientemente varias correcciones para una vulnerabilidad de alta gravedad denominada Reptar. El CVE-2023-23583 tiene una puntuación CVSS de 8,8 y, cuando se explota, tiene el potencial de escalada de privilegios, divulgación de información y una condición de denegación de servicio (DoS). El parche de fallas de Intel Reptar se ha lanzado a pesar de que no hay evidencia de que se esté explotando la vulnerabilidad.
En este blog, discutiremos cómo los actores de amenazas podrían explotar esta falla de Intel de alta gravedad y la opinión de Intel al respecto.
Posibles exploits sin el parche de fallas de Intel Reptar
Los actores de amenazas podrían explotar la vulnerabilidad Reptar en las CPU si tienen ejecución de código local en el sistema operativo o en una máquina virtual (VM) invitada. Sin la mitigación de la vulnerabilidad de la CPU, esta falla podría explotarse para la escalada de privilegios o la divulgación de información confidencial.
Los ciberdelincuentes, en un entorno virtualizado multiusuario, también pueden explotar la vulnerabilidad de una máquina virtual invitada. Un exploit de este tipo haría que el servidor host se bloqueara, lo que daría lugar a una condición de DoS para todos los usuarios del servidor. Las organizaciones, como parte de sus correcciones de firmware de CPU, deben comprobar si hay actualizaciones de BIOS/UEFI con los fabricantes de sus sistemas.
Prefijos de instrucción no ignorados y reptar
El nombre "Reptar" para CVE-2023-23583 se origina en el prefijo de instrucción "rep" que debería ignorarse, pero no lo es. Tavis Ormandy, investigador de seguridad de Google, ha revelado que esta falla de Intel de alta gravedad se remonta a la forma en que se procesan los prefijos de instrucciones en las CPU con capacidades de movimiento rápido de repetición corta (FSRM).
Se puede acceder a un conjunto de instrucciones para dichas CPU a través de un código de máquina legible por humanos presentado en lenguaje ensamblador. Los códigos escritos en este lenguaje de programación se utilizan para operar directamente con instrucciones de CPU que admiten prefijos, que cambian la forma en que funcionan.
El código "rep movsb" contiene el prefijo "rep", que, en un escenario ideal, significaría repetir la instrucción "movsb". En el código "rex.rbx rep movsb", el prefijo se utiliza para asignar bits adicionales. Sin embargo, el prefijo en este caso no es necesario para esta instrucción y debe omitirse, pero no lo es.
Los investigadores de Google han descubierto que tales prefijos en la CPU donde FSRM es evidente se interpretan de manera inusual, lo que da como resultado que la vulnerabilidad se denomine Reptar.
Aviso de seguridad de Reptar Intel
En una guía emitida el 14 de noviembre de 2023, Intel dijo: "Intel no espera que este problema sea encontrado por ningún software del mundo real no malicioso. No se espera que los prefijos REX redundantes estén presentes en el código ni que los compiladores los generen. La explotación maliciosa de este problema requiere la ejecución de código arbitrario".
Al comentar más sobre lo que podría haber sido una de las vulnerabilidades de seguridad de CPU más graves, Intel enfatizó que el potencial de escalada de privilegios se identificó en sus protocolos de validación de seguridad internos.
En lo que respecta a la aplicación de parches a los fallos de alta gravedad, Intel ha publicado un microcódigo actualizado para todos los procesadores afectados. De acuerdo con la actualización de seguridad del chip Intel, las CPU afectadas incluyen:
- Xeon D y CPU de servidor escalables Xeon de 3.ª y 4.ª generación.
- Versiones móviles o de escritorio de procesadores Intel Core de 10.ª, 11.ª, 12.ª y 13.ª generación.
Conclusión
El parche de fallas de Intel Reptar contiene microcódigo para todos los procesadores afectados. Aunque actualmente no hay evidencia de actividades maliciosas como resultado de la vulnerabilidad, si se explota, puede conducir a una escalada de privilegios, una condición de DoS o divulgación de información. Vale la pena mencionar que otra vulnerabilidad de la CPU de Intel denominada "Downfall" salió a la luz hace un par de meses.
En ese momento, los riesgos de robo de información y contraseñas eran altos. Estas vulnerabilidades y su potencial para ser explotadas son alarmantes. Por lo tanto, las organizaciones deben adoptar medidas proactivas de ciberseguridad para mejorar su postura de seguridad y salvaguardar los sistemas y los datos.
La fuente de este artículo incluye artículos en The Hacker News y CSO.