Aunque los appliances de Stormshield utilizan procesadores Intel y ARM, dichos productos no se ven afectados directamente por tales vulnerabilidades
Las soluciones de Stormshield inmunes ante Meltdown y Spectre
Con una apoteósica entrada en escena el pasado 3 de enero, cuando Intel anunció que “algunos de sus procesadores podrían ser vulnerables a una violación de seguridad”, Meltdown y Spectre siguen levantando pólvora, más aún, cuando ya se conoce que estos fallos no se limitan a los procesadores Intel; AMD y ARM también están afectados.
Meltdown y Spectre aprovechan las vulnerabilidades críticas en los procesadores modernos. Estos errores les permiten robar datos que actualmente se procesan en el PC. Así, mientras Meltdown es capaz de quebrar el aislamiento más fundamental entre las aplicaciones del usuario y Sistema Operativo (SO), accediendo a la memoria y, por ende, a los secretos de otros programas y del SO, Spectre puede romper el aislamiento entre diferentes aplicaciones. Esto permite a un atacante acceder a información de programas que siguen las mejores prácticas y no tienen vulnerabilidades en su diseño, para filtrar sus secretos.
Aunque los appliances de Stormshield utilizan procesadores Intel y ARM, no se han visto afectados directamente por las vulnerabilidades recientemente descubiertas.
Los productos de Stormshield no se han visto afectados
A este respecto y aunque los appliances de Stormshield utilizan procesadores Intel y ARM, es conveniente matizar que dichos productos no se ven afectados directamente por tales vulnerabilidades. El equipo de Investigación y Desarrollo de Stormshield realiza una tarea continua ante incidentes reportados, analizando dichas brechas, así como sus consecuencias, tanto en términos de seguridad como de rendimiento del appliance.
“Los productos de la familia Stormshield Network Security no se han visto afectados directamente por estas vulnerabilidades. No pueden ser explotados directamente por un atacante, ya que la configuración por defecto no permite la ejecución de código local en los appliances”, expresa Antonio Martínez de Stormshield Iberia. “Por su parte, y aunque las soluciones Stormshield Endpoint Security y Stormshield Data Security no se han visto directamente afectadas por Meltdown y Spectre si es conveniente realizar una actualización de los Sistemas Operativos con parches correctivos, sobre todo para Windows”.
El pasado 3 de enero, Microsoft publicó actualizaciones de seguridad para proteger su sistema operativo Windows. Sin embargo, algunas aplicaciones de terceros (especialmente antivirus) están realizando “llamadas no admitidas en la memoria del kernel de Windows” que causan errores de detención (conocidos como errores de pantalla azul)". A este respecto es importante señalar que Stormshield Endpoint Security (SES) no realiza llamadas no admitidas por lo que es compatible con la actualización de seguridad de Windows.
Para evitar estos errores, Microsoft ha condicionado la instalación del parche a la existencia de una clave de registro y ha solicitado a las empresas de antivirus que activen esta clave tras actualizar a una versión compatible con el parche. Póngase en contacto con su proveedor de antivirus lo antes posible para conocer su estado. Dado que SES se utiliza de forma conjunta con programas antivirus, SES no modifica la clave registro, permitiendo que sea la versión compatible de antivirus la que realice esta tarea. Para más información sobre la activación manual de la clave pueden seguir el tutorial facilitado por Microsoft.
Las primeras investigaciones han sido reportadas en la plataforma Stormshield Advisories: advisories.stormshield.eu. Otras todavía se encuentran en proceso.
SES: seguridad para equipos de usuarios y servidores
Stormshield Endpoint Security protege indistintamente equipos de usuarios y servidores que dispongan del agente SES instalado.
- Equipos de usuario: SES salvaguarda de forma efectiva contra la explotación de vulnerabilidades que permitan ejecutar código en modo remoto en un equipo de usuario (y sin la intervención del usuario). En otras palabras: SES bloquea la explotación remota. En cambio, la explotación local por parte de un usuario que se ha logado (ha abierto una sesión local en el equipo) sólo se puede evitar parcheando el Sistema Operativo. El SO utiliza ciertas funciones de optimización de la CPU. El parche modifica el sistema operativo de forma que no haga uso de esta funcionalidad de las CPUs afectadas. Al no utilizar esta funcionalidad de optimización, el rendimiento de los equipos puede verse afectado.
- Servidores: En este caso, el agente de SES puede proteger mediante listas blancas que limiten la ejecución de procesos legítimos y bloqueen cualquier proceso desconocido que pueda intentar explotar esta vulnerabilidad. De esta forma se consigue garantizar la protección sin necesidad de parchear el SO y el consiguiente impacto en el rendimiento del servidor. La contrapartida es que sólo se pueden ejecutar procesos conocidos y autorizados previamente (en la lista blanca).