Meltdown y Spectre – Como proteger nuestra infraestructura VMware.

8 de enero de 2018 por
Gonzalez Marinsalda, Ignacio

 

Meltdown y Spectre generaron bastante revuelo en los últimos días siendo consideradas las vulnerabilidades informáticas más grandes de la historia. Afectan a los procesadores de todos los grandes fabricantes posteriores al año 2011, dejando expuesto de esta forma a casi cualquier computadora o servidor.

¿Qué son y cómo funcionan?

Tanto Spectre como Meltdown son vulnerabilidades descubiertas en la arquitectura de los CPU y una actualización del microcódigo de los mismos no basta para resolver este potencial problema.
Por lo que la mayoría de los fabricantes de Software están trabajando a contrarreloj para publicar parches que nos protejan contra esta vulnerabilidad.

Meltdown funciona de la siguiente manera:
El núcleo del sistema operativo (o Kernel) almacena en direcciones de memoria reservadas datos y procesos de gran valor. Dado que está información es considerada altamente sensible, se esconde de cualquier proceso que no sea el Kernel del Sistema Operativo.
El problema reside en que un atacante experimentado puede, mediante ciertos exploits, quebrantar la función “Speculative Execution” y, de este modo, realizar una escalación de permisos. De esta forma, podría obtener permisos de super-user y acceder a datos sensibles, tales como contraseñas, claves de cifrado, etc.

Spectre funciona de forma similar, pero tiene tres diferencias clave:
– Es más difícil de mitigar
– Es más difícil de ejecutar
– Utiliza el modo de Ejecución Especulativa para acceder a direcciones de memoria reservadas para otros programas.

¿Cuáles son los riesgos?

En los últimos días se realizaron numerosas pruebas para identificar el alcance de esta vulnerabilidad.
Una de las pruebas más interesantes reveló que una máquina virtual comprometida puede permitir al atacante acceder a la máquina del sistema operativo host y de esta forma, propagar el ataque a las demás máquinas virtuales.

¿Cómo puedo protegerme?

El día 03 de enero VMware publicó un Security Assessment VMSA-2018-0002 informando sobre la vulnerabilidad y cómo mitigarla.

La mitigación de esta vulnerabilidad consiste en parchear nuestros hosts ESXi acorde a la siguiente tabla:

Producto Build Number Parche
ESXi 6.5 Any ESXi650-201712101-SG
ESXi 6.0 Any ESXi600-201711101-SG
ESXi 5.5 Any ESXi550-201709101-SG

Para mitigar el proceso es necesario aplicar estos parches vía Update Manager
En la siguiente KB se detalla el paso a paso.