top of page

Descubren nuevamente otra vulnerabilidad en CPU de Intel y AMD


Este martes 14 de junio, algunos investigadores han descubierto un nuevo fallo en los microprocesadores de Intel, AMD y otras empresas donde los atacantes remotos pueden aprovechar para obtener claves criptográficas y otros datos secretos que viajan a través del hardware.


Los fabricantes de hardware saben desde hace tiempo que los hackers pueden extraer datos criptográficos secretos de un chip midiendo la energía que consume mientras procesa esos valores. Los medios para explotar los ataques de análisis de energía contra los microprocesadores son limitados porque el actor de la amenaza tiene pocas formas viables de medir a distancia el consumo de energía mientras procesa el material secreto. Ahora, un equipo de investigadores ha descubierto cómo convertir los ataques de análisis de energía en una clase diferente de explotación de canal lateral que es considerablemente menos exigente.


El equipo descubrió que el escalado dinámico de voltaje y frecuencia (DVFS) (una función de gestión energética y térmica añadida a todas los CPU modernas) permite a los atacantes deducir los cambios en el consumo de energía mediante la monitorización del tiempo que tarda un servidor en responder a consultas específicas cuidadosamente realizadas. El descubrimiento reduce en gran medida lo que se necesita. Al comprender cómo funciona la opción DVFS, los ataques de canal lateral de energía se convierten en ataques de sincronización mucho más sencillos que pueden realizarse de forma remota.


El ataque fue denominado Hertzbleed, ya que utiliza los conocimientos sobre DVFS para exponer los datos que se espera que permanezcan privados. La vulnerabilidad está registrada como CVE-2022-24436 para los chips de Intel y CVE-2022-23823 para los CPU de AMD.


Se ha demostrado que esta técnica de explotación que han desarrollado puede utilizarse para extraer una clave de cifrado de un servidor que ejecuta SIKE, un algoritmo criptográfico utilizado para establecer una clave secreta entre dos partes a través de un canal de comunicación que no es seguro.


Los investigadores afirmaron haber reproducido con éxito su ataque. También afirmaron que la técnica funcionaría en CPUs Intel Xeon y verificaron que los procesadores AMD Ryzen son vulnerables y permiten el mismo ataque SIKE utilizado contra los chips de Intel. Por otro lado creen que los chips de otros fabricantes también pueden estar afectados.


A continuación la descripción del descubrimiento:


Hertzbleed es una nueva familia de ataques de canal lateral: canales laterales de frecuencia. En el peor de los casos, estos ataques pueden permitir a un atacante extraer claves criptográficas de servidores remotos que antes se creían seguros.
Hertzbleed se aprovecha de nuestros experimentos que muestran que, en determinadas circunstancias, el escalado dinámico de la frecuencia de los procesadores x86 modernos depende de los datos que se procesan. Esto significa que, en los procesadores modernos, el mismo programa puede ejecutarse a una frecuencia de CPU diferente (y, por tanto, tardar un tiempo de pared diferente) al calcular, por ejemplo, 2022 + 23823 en comparación con 2022 + 24436.
Hertzbleed es una amenaza real y práctica para la seguridad del software criptográfico. Hemos demostrado cómo un atacante inteligente puede utilizar un novedoso ataque de texto cifrado elegido contra SIKE para realizar una extracción completa de claves a través de la temporización remota, a pesar de que SIKE está implementado como "tiempo constante".

Por su parte, Jerry Bryant, Director Senior de Comunicaciones de Seguridad y Respuesta a Incidentes de Intel, puso en duda la viabilidad de la técnica. En un post, escribió: "Aunque este asunto es interesante desde una perspectiva de investigación, no creemos que este ataque sea práctico fuera de un entorno de laboratorio. También hay que tener en cuenta que las implementaciones criptográficas que están reforzadas contra los ataques de canal lateral de energía no son vulnerables a este problema." Intel también ha publicado una guía para los fabricantes de hardware y software.


Ni Intel ni AMD están emitiendo actualizaciones de microcódigo para cambiar el comportamiento de los chips. En su lugar, están respaldando los cambios que Microsoft y Cloudflare han realizado respectivamente en sus bibliotecas de código criptográfico PQCrypto-SIDH y CIRCL. Los investigadores estiman que la mitigación añade una sobrecarga de rendimiento de descapsulación del 5% para CIRCL y del 11% para PQCrypto-SIDH. Las mitigaciones fueron propuestas por otro equipo de investigadores que descubrió de forma independiente el mismo punto débil.


Descripción del ataque, según los investigadores:

En este artículo, mostramos que, en los modernos CPUs x86 de Intel (y AMD), los ataques de análisis de potencia pueden convertirse en ataques de temporización, eliminando así la necesidad de cualquier interfaz de medición de potencia. Nuestro descubrimiento es posible gracias al agresivo escalado dinámico de voltaje y frecuencia (DVFS) de estos CPUs. El DVFS es una técnica comúnmente utilizada que consiste en ajustar dinámicamente la frecuencia del CPU para reducir el consumo de energía (durante las cargas bajas de la CPU) y para asegurar que el sistema se mantenga por debajo de los límites de energía y térmicos (durante las cargas altas del CPU). Descubrimos que, en determinadas circunstancias, los ajustes de la frecuencia del CPU inducidos por el DVFS dependen del consumo de energía actual con una granularidad de milisegundos. Por lo tanto, dado que el consumo de energía depende de los datos, se deduce transitoriamente que los ajustes de frecuencia de la CPU también dependen de los datos.

Para empeorar las cosas, mostramos que los ajustes de frecuencia dependientes de los datos pueden ser observados sin necesidad de ningún privilegio especial e incluso por un atacante remoto. La razón es que las diferencias de frecuencia del CPU se traducen directamente en diferencias de tiempo de ejecución (ya que 1 hertz = 1 ciclo por segundo). Las implicaciones de seguridad de este hallazgo son significativas. Por ejemplo, socava fundamentalmente la programación en tiempo constante, que ha sido la defensa fundamental contra los ataques de tiempo desde su descubrimiento en 1996 [58]. La premisa detrás de la programación en tiempo constante es que escribiendo un programa para que sólo utilice instrucciones "seguras", cuya latencia es invariable a los valores de los datos, el tiempo de ejecución del programa será independiente de los datos. Sin embargo, con el canal de frecuencia, el tiempo se convierte en una función de los datos, incluso cuando sólo se utilizan instrucciones seguras.

A pesar de su potencia teórica, no es obvio cómo construir explotaciones prácticas a través del canal de frecuencia. Esto se debe a que las actualizaciones de DVFS dependen del consumo de energía agregado a lo largo de millones de ciclos de la CPU y sólo reflejan el comportamiento del programa a gran escala. Sin embargo, demostramos que el canal lateral de frecuencia es una amenaza real para la seguridad del software criptográfico, mediante (i) la ingeniería inversa de un modelo de fuga preciso para este canal en las CPUs x86 modernas y (ii) la demostración de que algunas primitivas criptográficas admiten la amplificación de las conjeturas de un solo bit clave en miles de operaciones de alto o bajo consumo, lo suficiente como para inducir una diferencia de tiempo medible.

Riccardo Paccagnella, investigador de la Universidad de Illinois Urbana-Champaign y coautor del artículo, afirma que Hertzbleed demuestra la obsolescencia de las directrices elaboradas conjuntamente por los ingenieros de hardware y software para escribir programas que no sean susceptibles de sufrir ataques de sincronización. "El resultado es que las directrices actuales de la industria sobre cómo escribir código en tiempo constante (como la de Intel) son insuficientes para garantizar la ejecución en tiempo constante en los procesadores modernos, escribió en un mensaje en línea."


Por ahora, no hay nada que los usuarios finales puedan hacer y aunque lo hubiera, no está claro en este momento que Hertzbleed represente una amenaza clara y presente. En cambio, los desarrolladores deberían considerar cuidadosamente cómo afectan los hallazgos a la seguridad del software criptográfico que diseñan. Los investigadores proponen otros métodos para reforzar las aplicaciones contra los ataques tipo Hertzbleed.





bottom of page