TLP: Amber
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar las actualizaciones liberadas por Intel a los productos afectados.
Vector de ataque: Remoto.
Impacto: Robo de información.

Descripción

Intel ha publicado actualizaciones para evitar ataques de “Platypus (Power Leakage Attacks: Targeting Your Protected User Secrets)”, una vulnerabilidad descubierta por investigadores de seguridad, donde un atacante puede robar información a través de RAPL (Running Average Power Limit). A dicha vulnerabilidad se le han asignado los siguientes identificadores:

  1. CVE-2020-8694 CVSS v3.1 : 5.6 [Medio] para Linux e Intel.
  2. CVE-2020-8695 CVSS v3.1 : 5.3 [Medio] para Intel.
  3. CVE-2020-12912 CVSS v3.1 : 4.8 [Bajo] para Linux y AMD.

Platypus consiste en extraer datos que se están procesando en la CPU, observando los valores a través de la interfaz RAPL, un componente que permite a las aplicaciones de firmware o software monitorear el consumo de energía en la CPU y la DRAM.

La vulnerabilidad afecta a los sistemas operativos de “Windows”, “masOS” y “Linux”, siendo este último el más afectado debido al uso del controlador “powercap framework” para interactuar con las interfaces RAPL y otras API de limitación de energía, permitiendo una lectura fácil en el consumo de la energía, caso contrario a los sistemas masOS y Windows, donde se necesita instalar “Intel Power Gadget” para poder interactuar con la interfaz RAPL.

Platypus se diferencia del resto de los ataques, debido a que este puede ser aprovechado de forma remota, enviando el código malicioso adjunto en correos electrónicos al objetivo. Cabe mencionar que primeramente la investigación se realizó en los procesadores Intel, sin embargo, al realizar el mismo ataque a procesadores AMD se descubrió la misma vulnerabilidad por lo que se espera que AMD publique las actualizaciones para corregir esta falla.

Nivel de riesgo

  • Alto

Sistemas/tecnologías afectadas:

  • Sistemas Operativos Microsoft Windows.
  • Sistemas Linux.
  • Sistemas macOS.

Medidas de erradicación

Referencias