Publicación de dos avisos de seguridad de Microsoft (18012 y 18013) en 21 de mayo de 2018

El 21 de mayo de 2018, Microsoft publicó dos nuevos avisos de seguridad para proporcionar asistencia a los clientes en relación con nuevas vulnerabilidades de seguridad. Estas nuevas vulnerabilidades de seguridad están relacionadas con las vulnerabilidades de seguridad de canal lateral de ejecución especulativa divulgadas anteriormente. En esta alerta se proporcionan una descripción general de estos nuevos dos avisos de seguridad de Microsoft, junto con vínculos con información adicional.

Aviso de seguridad 180012 | Asistencia de Microsoft para la derivación de almacenamiento especulativo: descripción general

El 21 de mayo de 2018, Microsoft publicó el aviso de seguridad 180012 | Asistencia de Microsoft para la derivación de almacenamiento especulativo.  Aquí hay una descripción general:

Aviso de seguridad de Microsoft 180012 Asistencia de Microsoft para la derivación de almacenamiento especulativo
Resumen ejecutivo El 3 de enero de 2018, Microsoft publicó un aviso y actualizaciones de seguridad relacionados con una clase recientemente descubierta de vulnerabilidades de hardware (conocidas como Spectre y Meltdown) que implican canales laterales de ejecución especulativa que afectan a las CPU de AMD, ARM e Intel en grados variantes. El 21 de mayo de 2018, se anunció y se asignó el aviso CVE-2018-3639 a una nueva subclase de vulnerabilidades de canal lateral de ejecución especulativa conocidas como Derivación de almacenamiento especulativo (SSB).

Un atacante que aprovechara con éxito esta vulnerabilidad podría leer datos confidenciales entre todas las limitaciones de confianza. Patrones de código vulnerable en el sistema operativo (SO) o en las aplicaciones podrían permitir a un atacante aprovecharse de esta vulnerabilidad. En el caso de compiladores tipo “justo a tiempo” (JIT), como JavaScript JIT que emplean los exploradores web modernos, un atacante podría publicar JavaScript que produjera código nativo que podría dar lugar a una instancia de CVE-2018-3639. Sin embargo, Microsoft Edge, Internet Explorer y otros exploradores principales han tomado medidas para aumentar la dificultad de la creación exitosa de un canal lateral.

En el momento de la publicación, no conocemos ningún código de código aprovechable de esta clase de vulnerabilidad en nuestro software o infraestructura de servicio en la nube, pero seguimos investigando.

Estrategia de mitigación de Microsoft Microsoft implementará la siguiente estrategia para mitigar la derivación de almacenamiento especulativo:

  • En el caso de que se encontrara un patrón de código vulnerable, lo trataremos con una actualización de seguridad.
  • Microsoft Windows y Azure agregarán compatibilidad con la inhabilitación de la derivación de almacenamiento especulativo (SSBD) según lo hayan documentado Intel y AMD. SSBD inhibe la derivación de almacenamiento especulativo, por lo que se elimina por completo el riesgo de seguridad. Microsoft está trabajando con AMD e Intel para evaluar la disponibilidad y preparación de estas características, como por ejemplo, microcódigo cuando sea necesario, y el impacto en el rendimiento.
  • Microsoft seguirá desarrollando, publicando e implementando mitigaciones de defensa en profundidad para las vulnerabilidades de canal lateral de ejecución especulativa, como la derivación de almacenamiento especulativo.
  • Microsoft seguirá investigando los canales laterales de ejecución especulativa, con la participación de investigadores y el programa de recompensa de ejecución especulativa.
Respuestas a preguntas anticipadas Visite Aviso de seguridad 180012 para ver la lista completa de respuestas a las preguntas frecuentes o anticipadas. La lista de respuestas a las preguntas se actualizará a medida que haya nueva información disponible.
Acciones recomendadas
  • Para recibir notificación sobre el cambio de contenido de este y otros avisos de seguridad de Microsoft, suscríbase a las Notificaciones técnicas de seguridad de Microsoft: edición completa, en esta página web: https://technet.microsoft.com/es-es/security/dd252948.aspx.
  • Familiarícese con el contenido del Aviso de seguridad 180012, como los detalles técnicos, las acciones recomendadas, respuestas a preguntas frecuentes y vínculos a información adicional.
  • Evalúe las implicaciones de rendimiento de SSBD en su entorno, cuando se haga disponible.
  • Siga implementado las mitigaciones para Spectre y Meltdown, como la implementación del microcódigo de procesador disponible actualmente. 
URL del aviso de seguridad 180012: https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/ADV180012

Aviso de seguridad 180013 |
Asistencia de Microsoft para la lectura de registro de sistema solitario: descripción general

El 21 de mayo de 2018, Microsoft publicó el aviso de seguridad 180013 | Asistencia de Microsoft para la lectura del Registro de sistema solitario.  Aquí hay una descripción general:

Aviso de seguridad de Microsoft 180013 Asistencia de Microsoft para la lectura de registro de sistema solitario
Resumen ejecutivo El 3 de enero de 2018, Microsoft publicó un aviso y actualizaciones de seguridad relacionados con una clase recientemente descubierta de vulnerabilidades de hardware (conocidas como Spectre y Meltdown) que implican canales laterales de ejecución especulativa que afectan a las CPU de AMD, ARM e Intel en grados variantes. El 21 de mayo de 2018, Intel anunció la vulnerabilidad de lectura del Registro de sistema solitario y asignó el aviso CVE-2018-3640.

Un atacante que aprovechara con éxito esta vulnerabilidad podría derivar las protecciones de Aleatoriedad en la disposición del espacio de direcciones (KASLR). Para aprovechar esta vulnerabilidad, un atacante tendría que iniciar sesión en un sistema afectado y ejecutar una aplicación especialmente diseñada. La mitigación para esta vulnerabilidad se aplica exclusivamente a través de una actualización del microcódigo o firmware, y no hay ninguna actualización del sistema operativo Microsoft Windows.

Respuestas a preguntas anticipadas Visite Aviso de seguridad 180013 para ver la lista completa de respuestas a las preguntas frecuentes o anticipadas. La lista de respuestas a las preguntas se actualizará a medida que haya nueva información disponible.
Acciones recomendadas
  • Para recibir notificación sobre el cambio de contenido de este y otros avisos de seguridad de Microsoft, suscríbase a las Notificaciones técnicas de seguridad de Microsoft: edición completa, en esta página web: https://technet.microsoft.com/es-es/security/dd252948.aspx.
  • Familiarícese con el contenido del Aviso de seguridad 180013, como los detalles técnicos, las acciones recomendadas, respuestas a preguntas frecuentes y vínculos a información adicional.
  • Implemente el microcódigo actualizado cuando esté disponible. Los clientes de Surface recibirán código actualizado en la forma de una actualización de firmware a través de Windows Update. Para hardware de dispositivo OEM de terceros, recomendamos que los clientes consulten con el fabricante del dispositivo para obtener actualizaciones de microcódigo o firmware.
URL del aviso de seguridad 180013: https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/ADV180013

Guía de actualizaciones de seguridad de Microsoft

La Guía de actualizaciones de seguridad es nuestro recurso recomendado para obtener información sobre actualizaciones de seguridad. Puede personalizar sus vistas y crear hojas de cálculo del software afectado, así como descargar datos a través de una API de RESTful. Le recordamos que la Guía de actualizaciones de seguridad ya ha sustituido a las páginas web de los boletines de seguridad habituales.

Portal de la Guía de actualizaciones de seguridad:  https://aka.ms/securityupdateguide

Página web de preguntas más frecuentes (P+F) sobre la Guía de actualizaciones de seguridad: https://technet.microsoft.com/es-es/security/mt791750

Respecto a la coherencia de la información

Procuramos proporcionarle información precisa a través de contenido estático (este correo) y dinámico (basado en web). El contenido de seguridad de Microsoft publicado en la web se actualiza ocasionalmente para incluir la información más reciente. Si esto provoca incoherencias entre la información de aquí y la información del contenido de seguridad basado en web de Microsoft, la información autorizada es esta última.

Si tiene alguna pregunta respecto a esta alerta, póngase en contacto con su administrador técnico de cuentas (TAM) o director de prestación de servicios (SDM).

Saludos!

Microsoft CSS Security Team