El año no ha comenzado bien para Intel. A escasos días de haber inaugurado 2018, la multinacional ha protagonizado ya la primera noticia sobre errores en el campo de la ciberseguridad.  Según parece, los chips de la compañía fabricados durante los últimos diez años presentan un error masivo en las CPUs que permite un posible acceso a las áreas protegidas de la memoria kernel de un dispositivo.

Este defecto de diseño fundamental en los chips de procesador de Intel ha forzado un rediseño significativo de los kernels de Linux y Windows para poder solventar el error.

Según ha informado el portal The Register, los programadores están en estos momentos luchando para revisar el sistema de memoria virtual del kernel Linux de código abierto.

Mientras tanto, se espera que Microsoft presente públicamente los cambios necesarios a su sistema operativo Windows en el próximo Patch Tuesday, (nombre que se le da al día de cada mes en el que Microsoft publica sus noticias e informes sobre seguridad y otros parches para sus sistemas operativos y otro software).

Aunque los efectos aún se están evaluando, estas actualizaciones tanto para Linux como para Windows tendrán un impacto en el rendimiento de los productos de Intel.

Por el momento, y según las informaciones que nos llegan, lo que se observa es una media de entre el 5% al 30% de desaceleración, dependiendo de la tarea y el modelo del procesador. Los chips Intel más recientes tienen características, como PCID, para reducir el rendimiento alcanzado, por lo que su experiencia puede ser diferente.

Sistemas operativos similares, como macOS de 64 bits de Apple, también deberán actualizarse. El fallo de seguridad está en el hardware Intel x86-64, y parece que una actualización de microcódigo no puede solucionarlo. Tiene que ser arreglado en el software en el nivel del sistema operativo o de lo contrario adquirir nuevo procesador sin el error de diseño.

Según HotHardware, mientras que se espera que Microsoft solucione el error en su actualización mensual, por parte de Linux los parches para solventar este error ya han comenzado a distribuirse  Con respecto a Apple, también se esperan cambios en su sistema operativo macOS.

Reducción del rendimiento

Se ha informado que el error está presente en los procesadores modernos de Intel producidos en la última década y, dicho fallo, permitiría que un usuario normal accediese a través de la base de datos de JavaScript a los sectores de memoria reservados para el kernel a través del navegador.

La solución para esto pasa por separar por completo la memoria asignada al kernel de los procesos del usuario utilizando lo que se conoce como Kernel Page Table Isolation, o KPTI.

Cada vez que un programa en ejecución necesita hacer algo útil, como escribir en un archivo o abrir una conexión de red, tiene que ceder temporalmente el control del procesador al núcleo o kernel para llevar a cabo el trabajo. Para hacer la transición del modo usuario al modo núcleo y volver al modo usuario lo más rápido y eficiente posible, el kernel está presente en todos los espacios de direcciones de memoria virtual de los procesos, aunque es invisible para estos programas.

Cuando se necesita el kernel, el programa realiza una llamada al sistema y el procesador cambia al modo kernel e ingresa al núcleo. Cuando termina, se le dice a la CPU que regrese al modo usuario y vuelva a cargar en memoria. Mientras está en modo usuario, el código y los datos del kernel permanecen fuera de la vista, pero están presentes en las tablas de páginas del proceso.

Estos parches KPTI mueven el kernel a un espacio de direcciones completamente separado, por lo que no es solo invisible para un proceso en ejecución, ni siquiera está allí. En realidad, esto no debería ser necesario, pero es evidente que hay una falla en el procesador de Intel que permite que las protecciones de acceso al kernel sean anuladas de alguna manera.

La desventaja de esta separación es que es relativamente costoso, en cuanto al tiempo, seguir cambiando entre dos espacios de direcciones por separado para cada llamada al sistema y para cada interrupción del hardware.

Estos cambios de contexto no ocurren instantáneamente, y obligan al procesador a volcar datos en caché y volver a cargar información de la memoria. Esto aumenta la sobrecarga del kernel y ralentiza la computadora. En definitiva, nuestro ordenador Intel funcionará más lentamente debido a esto.

Consecuencias

En el mejor de los casos, la vulnerabilidad podría ser aprovechada por malware y los piratas informáticos para explotar más fácilmente otros errores de seguridad.

En el peor, imagina una pieza de JavaScript ejecutándose en un navegador, o software malicioso que se ejecuta en un servidor en la nube público y compartido, capaz de detectar datos sensibles protegidos por kernel.

Y es que, debido a este fallo, cabe la posibilidad de que los programas y los usuarios que inician sesión puedan hacer uso de este fallo para leer el contenido de la memoria del kernel. Un material oculto que contienen datos significativos, como contraseñas, claves de inicio de sesión, archivos en caché desde el disco, etc.