{"id":1141,"date":"2024-05-01T22:30:22","date_gmt":"2024-05-01T20:30:22","guid":{"rendered":"https:\/\/www.glub.biz\/?p=1141"},"modified":"2024-05-08T19:13:21","modified_gmt":"2024-05-08T17:13:21","slug":"una-nueva-variante-del-malware-bhi-afecta-a-sistemas-linux-en-equipos-con-procesadores-de-intel","status":"publish","type":"post","link":"https:\/\/www.glub.biz\/?p=1141","title":{"rendered":"Una nueva variante del malware BHI afecta a sistemas Linux en equipos con procesadores de Intel"},"content":{"rendered":"<p><strong>Hace poco un equipo de investigadores dieron a conocer la noticia sobre una nueva variante de BHI, llamado como \u00abNative BHI\u00bb y ya catalogado bajo CVE-2024-2201. Este m\u00e9todo permite a los sistemas basados en Intel obtener acceso al contenido de la memoria del kernel de Linux al ejecutar un exploit desde el espacio del usuario.<\/strong><img decoding=\"async\" src=\"https:\/\/www.glub.biz\/media\/images\/2024\/intel-tux.jpg\" alt=\"Intel (Tux-Linux)\" class=\"alignnone size-medium\" width=\"480\"><\/p>\n<p>Esta nueva variante fue descubierta por \u00abInSpectre Gadget\u00bb una herramienta dise\u00f1ada por los investigadores para la detecci\u00f3n de vulnerabilidades comunes. Utiliza t\u00e9cnicas avanzadas de ejecuci\u00f3n simb\u00f3lica para examinar dispositivos Spectre en detalle y evaluar su capacidad de explotaci\u00f3n. Esta herramienta no solo identifica dispositivos explotables, sino que tambi\u00e9n modela t\u00e9cnicas de explotaci\u00f3n sofisticadas para comprender mejor la amenaza que representan estos dispositivos.<\/p>\n<p>La herramienta ha demostrado su efectividad al presentar el primer exploit nativo Spectre-v2 contra el kernel de Linux en CPU Intel de \u00faltima generaci\u00f3n. Este exploit, basado en la reciente variante BHI, es capaz de filtrar memoria del kernel a una tasa significativa, adem\u00e1s de que ha demostrado que en el caso de sistemas de virtualizaci\u00f3n, este ataque podr\u00eda permitir a un atacante en un sistema invitado acceder al contenido de la memoria del sistema host o de otros sistemas invitados.<\/p>\n<p><!--more--><\/p>\n<p>Native BHI presenta una t\u00e9cnica distinta para aprovechar la vulnerabilidad BHI evadiendo los m\u00e9todos de protecci\u00f3n previamente implementados. BHI implicaba explotar una vulnerabilidad en la CPU a nivel de privilegio, mediante la ejecuci\u00f3n de un programa eBPF cargado por el usuario en el kernel. Para mitigar este tipo de ataque, se restringi\u00f3 el acceso a la ejecuci\u00f3n de c\u00f3digo eBPF para usuarios no privilegiados.<\/p>\n<p>El nuevo m\u00e9todo no requiere acceso a eBPF y permite a un usuario sin privilegios llevar a cabo un ataque desde el espacio del usuario. Este m\u00e9todo se basa en la ejecuci\u00f3n de elementos existentes en el c\u00f3digo del n\u00facleo, espec\u00edficamente secuencias de comandos que inducen la ejecuci\u00f3n especulativa de instrucciones.<\/p>\n<blockquote><p>\nBHI representa una evoluci\u00f3n del ataque Spectre-v2, donde se manipula el Branch History Buffer (BHB) en lugar del Branch Target Buffer (BTB) para eludir las protecciones adicionales (Intel eIBRS y Arm CSV2) y obtener acceso a datos sensibles. El BHB es crucial para mejorar la precisi\u00f3n en la predicci\u00f3n de ramificaciones al considerar la historia de transiciones pasadas en la CPU. Durante el ataque BHI, se manipula el historial de transiciones para provocar una predicci\u00f3n incorrecta y ejecutar instrucciones especulativas que resultan en la filtraci\u00f3n de datos en el cach\u00e9.\n<\/p><\/blockquote>\n<p>A diferencia del ataque Spectre-v2, BHI se enfoca en el uso del BHB en lugar del BTB, ya que el atacante crea condiciones para que una operaci\u00f3n especulativa tome la direcci\u00f3n del \u00e1rea que se busca determinar, seguida de un salto indirecto especulativo que deja la direcci\u00f3n de salto en el cach\u00e9. Luego, se emplea un an\u00e1lisis de los tiempos de acceso a los cach\u00e9s y no cach\u00e9s para recuperar los datos del cach\u00e9.<\/p>\n<p>Para contrarrestar el ataque Native BHI, se utilizan instrucciones como Intel IBT (Indirect Branch Tracking) y el mecanismo de protecci\u00f3n FineIBT en el kernel de Linux. FineIBT combina instrucciones de hardware IBT con la protecci\u00f3n de software kCFI (kernel Control Flow Integrity) para bloquear desviaciones del flujo de control normal. Esto se logra permitiendo la ejecuci\u00f3n por salto indirecto solo en caso de un salto a la instrucci\u00f3n ENDBR, colocada al principio de la funci\u00f3n, y verificando hashes para garantizar la integridad de los punteros.<\/p>\n<p>Cabe mencionar que se implement\u00f3 en el kernel de Linux, un modo adicional de protecci\u00f3n ofrecida por Intel y adicionalmente una alternativa de protecci\u00f3n de software implementada para el hipervisor KVM. La soluci\u00f3n se ha integrado en todas las versiones actuales del Kernel y adem\u00e1s, los desarrolladores del hipervisor Xen han lanzado una soluci\u00f3n basada en el modo BHI_DIS_S para limitar las predicciones basadas en el historial de transiciones.<\/p>\n<p>Sobre la demostraci\u00f3n de la vulnerabilidad, los investigadores han desarrollado un exploit a partir de los dispositivos identificados, permitiendo extraer una cadena con el hash de la contrase\u00f1a del usuario root desde el archivo \/etc\/shadow ubicado en los buffers del kernel. Este proceso tiene una velocidad de recuperaci\u00f3n de datos de aproximadamente 3,5 KB por segundo.<\/p>\n<p>Fuente: <a href=\"https:\/\/blog.desdelinux.net\/una-nueva-variante-de-bhi-afecta-a-linux-en-equipos-con-intel-y-tambien-a-los-apple-silicon\/\" target=\"_blank\" rel=\"noopener noreferrer\">DesdeLinux<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Hace poco un equipo de investigadores dieron a conocer la noticia sobre una nueva variante de BHI, llamado como \u00abNative BHI\u00bb y ya catalogado bajo CVE-2024-2201. Este m\u00e9todo permite a los sistemas basados en Intel obtener acceso al contenido de &hellip; <a href=\"https:\/\/www.glub.biz\/?p=1141\">Sigue leyendo <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[],"class_list":["post-1141","post","type-post","status-publish","format-standard","hentry","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.glub.biz\/index.php?rest_route=\/wp\/v2\/posts\/1141","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.glub.biz\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.glub.biz\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.glub.biz\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.glub.biz\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1141"}],"version-history":[{"count":2,"href":"https:\/\/www.glub.biz\/index.php?rest_route=\/wp\/v2\/posts\/1141\/revisions"}],"predecessor-version":[{"id":1145,"href":"https:\/\/www.glub.biz\/index.php?rest_route=\/wp\/v2\/posts\/1141\/revisions\/1145"}],"wp:attachment":[{"href":"https:\/\/www.glub.biz\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1141"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.glub.biz\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1141"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.glub.biz\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1141"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}