Los parches de Microsoft para la vulnerabilidad de Windows 10 Meltdown han tenido un defecto fatal en todos estos meses, según Alex Ionescu, un investigador de seguridad de la firma de seguridad cibernética Crowdstrike.
Solo los parches para las versiones de Windows 10 Meltdown se vieron afectados, el investigador escribió hoy en un tweet. Microsoft solucionó silenciosamente el problema en Windows 10 Redstone 4 (v1803), también conocido como la actualización de abril de 2018, lanzada el lunes.
Contenidos de esta página
Los parches de Windows 10 Meltdown y su defecto fatal
«Welp, resulta que los parches de Meltdown para Windows 10 tuvieron un defecto fatal. La llamada a NtCallEnclave regresó al espacio del usuario con el directorio completo de la tabla de páginas del kernel. Socavando por completo la mitigación», escribió Ionescu.
Ionescu señaló que las versiones anteriores de Windows 10 Meltdown todavía se están ejecutando con parches de Meltdown desactualizados y que se pueden omitir.
Microsoft parchó hoy otra vulnerabilidad sin relación
Microsoft emitió hoy una actualización de seguridad. Pero no fue para respaldar los parches Meltdown «fijos» para las versiones anteriores de Windows 10 Meltdown.
En su lugar, la actualización de emergencia corrigió una vulnerabilidad en la biblioteca Shim de servicio de cómputo de host de Windows (hcsshim) (CVE-2018-8115) que permite a un atacante ejecutar código de forma remota en sistemas vulnerables. Microsoft clasificó a CVE-2018-8115 como un problema «crítico». Un archivo hcsshim parcheado está disponible para descargar desde GitHub.
Los parches Backported están en camino
«Sabemos y estamos trabajando para proporcionar a los clientes una actualización», dijo hoy un portavoz de Microsoft al portal Bleeping Computer en un correo electrónico.
Puede ser que, si Microsoft no empaqueta estas correcciones en una actualización fuera de banda. Lo más probable es que lleguen al parche de mayo de 2018 de Microsoft. Pero esta es solo nuestra especulación.
Microsoft lanzó sus parches Meltdown y Spectre el 4 de enero. Un día después de que los investigadores de seguridad revelaran los dos defectos. Así como las vulnerabilidades que permiten a los atacantes recuperar datos de las áreas protegidas de las CPU modernas.
El creador de sistemas operativos basado en Redmond ha tenido dificultades para reparar los dos defectos, y la compañía recientemente emitió actualizaciones de seguridad adicionales para arreglar las mitigaciones originales de Spectre y también entregar actualizaciones de microcódigos de CPU de Intel, como un favor para Intel.
Los hackers pueden eludir el parche Windows 10 Meltdown. Y las compilaciones tempranas pueden estar en riesgo
Los parches de Spectre / Meltdown de Microsoft para Windows 10 podrían omitirse por completo, y solo los usuarios con la actualización de abril de 2018 están protegidos. Los parches que Microsoft emitió para reparar Specter and Meltdown, podrían anularse por completo al invocar un comando en particular, según descubrió un analista.
Más sobre ciberseguridad
El investigador de seguridad Alex Ionescu de Crowdstrike dijo en un tweet que la falla socava completamente la mitigación, volviéndola inútil. «Llamar a NtCallEnclave regresó al espacio de usuario con el directorio completo de la tabla de páginas del kernel», dijo Ionescu.
Quienes hayan instalado la actualización de Windows 10 Meltdown en abril 2018 están a salvo. La actualización corrige el problema. También es exclusivo de Windows 10. Por lo que aquellos en versiones anteriores de Windows no necesitan preocuparse. Si está ejecutando Windows 10 y no ha instalado la actualización de abril de 2018, debería hacerlo inmediatamente. Microsoft aún no ha lanzado un backport.
Una solución inútil
Spectre y Meltdown son un par de vulnerabilidades que afectan a casi todos los procesadores del mundo. Los dos exploits permiten a un atacante eludir la mayoría de los tipos de seguridad del sistema para leer datos confidenciales almacenados en la memoria del kernel de la computadora.
Los parches emitidos por Microsoft deberían haber evitado que esa información fuera accesible desde el lado del usuario de un sistema Windows, pero en este caso no lo hicieron. Todo lo que un atacante debe hacer es encontrar una forma de ejecutar el comando NtCallEnclave. Así obtienen acceso instantáneo al directorio de la tabla de páginas del kernel, que contiene toda la información sensible que el parche debería haber protegido.
Un portavoz de Microsoft le dijo a Bleeping Computer que está planificando parches de respaldo para versiones anteriores de Windows 10 Meltdown. Pero la fuente no indicó cuándo estarían disponibles.
Si tiene una máquina con Windows 10 elegible para la Actualización de abril de 2018. Debe instalarla lo antes posible, y los equipos de TI que están probando la actualización para su despliegue a gran escala deberían acelerar sus horarios para poner el parche en las manos de los usuarios lo antes posible.
Si tiene una computadora con Windows 10 que no es elegible para la actualización. Asegúrese de mantener actualizado su software de seguridad para protegerlo de cualquier malware que pueda intentar aprovechar esta falla recientemente revelada.
Fuente: bleepingcomputer.com
Recomendaciones similares: