Microsoft emitió una guía para ayudar a los usuarios a proteger sus sistemas contra la denegación de servicio (DoS) y las fallas de seguridad de divulgación de información que afectan a las CPU de Intel, divulgadas durante el martes de parches de esta semana.
La vulnerabilidad DoS rastreada como CVE-2018-12207 afecta a los procesadores Intel Core de cliente y servidor hasta la 8a generación inclusive, mientras que la falla especulativa de vulnerabilidad rastreada como CVE-2019-11135 y encontrada en la capacidad de Extensiones de sincronización transaccional de Intel (TSX) afecta a Intel procesadores hasta la décima generación.
Orientación para ataques de canal lateral de ejecución especulativa de Zombieload 2
Al explotar la falla ZombieLoad 2 que se encuentra en el TSX Asynchronous Abort (TAA) para algunos procesadores Intel (enumerados en la tabla a continuación), los atacantes locales autenticados o el malware pueden robar información confidencial del núcleo del sistema operativo o procesos activos en el dispositivo comprometido.
Intel proporciona detalles técnicos adicionales sobre TAA aquí y, en un aviso publicado ayer , recomienda a los usuarios de procesadores Intel afectados que actualicen su firmware a la última versión proporcionada por el fabricante de su sistema para abordar este problema.
| Colección de productos | Nombres de productos | Segmento vertical | CPUID |
| Familia de procesadores Intel® Core ™ de décima generación | Procesador Intel® Core ™ i7-10510Y, i5-10310Y Procesador Intel® Core ™ i5-10210Y, i5-10110Y Procesador Intel® Core ™ i7-8500Y Procesador Intel® Core ™ i5-8310Y, i5-8210Y, i5-8200Y Intel® Procesador Core ™ m3-8100Y |
Móvil | 806EC |
| Procesadores escalables Intel® Xeon® de segunda generación | Procesador Intel® Xeon® Platinum 8253, 8256, 8260, 8260L, 8260M, 8260Y, 8268, 8270, 8276, 8276L, 8276M, 8280, 8280L, 8280M, 9220, 9221, 9222, 9242, 9282 Procesador Intel® Xeon® Gold 5215 , 5215L, 5215M, 5215R, 5217, 5218, 5218B, 5218N, 5218T, 5220, 5220R, 5220S, 5220T, 5222, 6222V, 6226, 6230, 6230N, 6230T, 6234, 6238, 6238L, 6238M, 6238T, 6240, 6240L , 6240M, 6240Y, 6242, 6244, 6246, 6248, 6252, 6252N, 6254, 6262V Procesador Intel® Xeon® Silver 4208, 4208R, 4209T, 4210, 4210R, 4214, 4214C, 4214R, 4214Y, 4215, 4216, 4216R Intel ® Xeon® Bronze Processor 3204, 3206R |
Servidor | 50657 |
| Familia de procesadores Intel® Xeon® W | Procesador Intel® Xeon® W-3275M, W-3275, W-3265M, W-3265, W-3245M, W-3245, W-3235, W-3225, W-3223, W-2295, W-2275, W -2265, W-2255, W-2245, W-2235, W-2225, W-2223 | Puesto de trabajo | 50657 |
| Familia de procesadores Intel® Core ™ de novena generación | Procesador Intel® Core ™ i9-9980HK, 9880H Procesador Intel® Core ™ i7-9850H, 9750HF Procesador Intel® Core ™ i5-9400H, 9300H |
Móvil | 906ED |
| Familia de procesadores Intel® Core ™ de novena generación | Procesador Intel® Core ™ i9-9900K, i9-9900KF Procesador Intel® Core ™ i7-9700K, i7-9700KF Procesador Intel® Core ™ i5-9600K, i5-9600KF, i5-9400, i5-9400F |
Escritorio | 906ED |
| Familia de procesadores Intel® Xeon® E | Procesador Intel® Xeon® E-2288G, E-2286M, E-2278GEL, E-2278GE, E-2278G | Estación de trabajo / Servidor / Servidor AMT | 906ED |
| Familia de procesadores Intel® Core ™ de décima generación Serie de procesadores Intel® Pentium® Gold Serie de procesadores Intel® Celeron® serie 5000 |
Procesador Intel® Core ™ i7-10510U Procesador Intel® Core ™ i5-10210U Procesador Intel® Pentium® Gold 6405U Procesador Intel® Celeron® 5305U |
Móvil | 806EC |
| Procesadores Intel® Core ™ de 8.a generación | Procesador Intel® Core ™ i7-8565U, i7-8665U Procesador Intel® Core ™ i5-8365U, i5-8265U |
Móvil | 806EC |
Microsoft proporciona a los clientes orientación para deshabilitar la capacidad Intel TSX en sistemas con procesadores Intel vulnerables para bloquear posibles ataques de Zombieload 2.
Al ejecutar el siguiente comando en un Símbolo del sistema, puede establecer una clave de registro para deshabilitar Intel TSX en su máquina:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel" /v DisableTsx /t REG_DWORD /d 1 /fSi desea volver a activar la capacidad Intel TSX, puede hacerlo emitiendo este comando:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel" /v DisableTsx /t REG_DWORD /d 0 /fOrientación para la falla de DoS del error de verificación de la máquina del procesador Intel
La falla CVE-2018-12207 permite a los atacantes locales autenticados activar un estado de denegación de servicio en los sistemas host con varios procesadores Intel afectados (enumerados en la tabla a continuación) aprovechando la invalidación incorrecta de las actualizaciones de la tabla de páginas por parte de las máquinas virtuales invitadas.
"Para mitigar esta vulnerabilidad, los proveedores de sistemas operativos e hipervisores proporcionarán actualizaciones de software. Comuníquese con su proveedor de sistemas operativos para obtener detalles adicionales", dice Intel .
La compañía también afirma que se ha coordinado con los proveedores de hipervisor y sistema operativo para proporcionar actualizaciones diseñadas para mitigar esta falla de seguridad.
| Productos Intel afectados | |
| Cliente | Servidor |
| Procesadores Intel® Core ™ i3 | Procesadores escalables Intel® Xeon® de segunda generación |
| Procesadores Intel® Core ™ i5 | Procesadores escalables Intel® Xeon® |
| Procesadores Intel® Core ™ i7 | Familia de procesadores Intel® Xeon® E7 v4 |
| Familia de procesadores Intel® Core ™ m | Familia de procesadores Intel® Xeon® E7 v3 |
| Procesadores Intel® Core ™ de segunda generación | Familia de procesadores Intel® Xeon® E7 v2 |
| Procesadores Intel® Core ™ de tercera generación | Familia de procesadores Intel® Xeon® E7 |
| Procesadores Intel® Core ™ de cuarta generación | Familia de procesadores Intel® Xeon® E5 v4 |
| Procesadores Intel® Core ™ de quinta generación | Familia de procesadores Intel® Xeon® E5 v3 |
| Procesadores Intel® Core ™ de 6.a generación | Familia de procesadores Intel® Xeon® E5 v2 |
| Procesadores Intel® Core ™ de 7.a generación | Familia de procesadores Intel® Xeon® E5 |
| Procesadores Intel® Core ™ de octava generación | Familia de procesadores Intel® Xeon® E3 v6 |
| Familia de procesadores Intel® Core ™ serie X | Familia de procesadores Intel® Xeon® E3 v5 |
| Serie de procesadores Intel® Pentium® Gold | Familia de procesadores Intel® Xeon® E3 v4 |
| Procesador Intel® Celeron® Serie G | Familia de procesadores Intel® Xeon® E3 v3 |
| Familia de procesadores Intel® Xeon® E3 v2 | |
| Familia de procesadores Intel® Xeon® E3 | |
| Procesador Intel® Xeon® E | |
| Procesador Intel® Xeon® D | |
| Procesador Intel® Xeon® W | |
| Procesador Intel® Xeon® heredado | |
Si bien este problema de seguridad divulgado ayer por Intel en un aviso técnico ya fue abordado por Microsoft como parte de su parche del martes de noviembre de 2019 , la protección que agrega está deshabilitada de forma predeterminada.
Para habilitar la protección contra ataques DoS que podrían explotar la falla CVE-2018-12207 en un sistema host Hyper-V, debe ejecutar el siguiente comando en un símbolo del sistema elevado en el sistema host para establecer la clave de registro correspondiente (la máquina virtual invitada debe reiniciarse después de que se complete el comando):
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v IfuErrataMitigations /t REG_DWORD /d 1 /fPara deshabilitar las protecciones en torno a la falla de Intel Processor Machine Check Error, debe ejecutar el siguiente comando en el sistema host en un símbolo del sistema elevado para establecer la clave de registro correspondiente (la VM invitada debe reiniciarse cuando se complete el comando):
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v IfuErrataMitigations /t REG_DWORD /d 0 /f