AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Nuevos Ataques Rompen la Protección de Memoria Cifrada en Procesadores Intel y AMD

admin

#### Introducción

En un reciente hallazgo que pone en cuestión la robustez de las defensas a nivel de hardware, investigadores de ciberseguridad han demostrado la viabilidad de un ataque capaz de vulnerar las tecnologías de cifrado de memoria implementadas en procesadores modernos de Intel y AMD. Este descubrimiento afecta directamente a mecanismos como Intel Total Memory Encryption (TME) y AMD Secure Memory Encryption (SME), que hasta ahora se consideraban barreras efectivas frente a la extracción de datos en entornos sensibles. El ataque, presentado en una conferencia académica y apoyado por pruebas de concepto, implica una amenaza significativa para la confidencialidad de la información procesada en servidores, estaciones de trabajo y entornos cloud.

#### Contexto del Incidente o Vulnerabilidad

Las tecnologías de cifrado de memoria, como TME y SME, se han desarrollado como respuesta a ataques físicos y lógicos que buscan extraer información sensible directamente de la RAM. La adopción de estos mecanismos, especialmente en infraestructuras críticas y servicios en la nube, ha ido en aumento tras la aparición de ataques como Cold Boot y DMA-based, que aprovechan el acceso físico o interfaces de alta velocidad para leer la memoria del sistema. Sin embargo, la reciente investigación demuestra que estas soluciones no son infalibles y que existen vectores de ataque que pueden eludir su protección, afectando a una amplia gama de procesadores lanzados en los últimos cinco años.

#### Detalles Técnicos

El ataque, identificado por los investigadores como una forma avanzada de “side-channel attack”, explota debilidades en la gestión de claves y en los mecanismos de acceso a memoria protegida por hardware. Aunque aún no se ha asignado un CVE específico, el equipo investigador ha publicado indicadores de compromiso (IoC) y detalles técnicos que permiten a los equipos de seguridad evaluar su exposición.

– **Vectores de ataque:** El método se basa en la manipulación de accesos a memoria y la observación de patrones de acceso (side channels), permitiendo inferir el contenido cifrado. El ataque puede ejecutarse a nivel local mediante cuentas con privilegios, pero también se estudia la viabilidad de escenarios remotos en arquitecturas compartidas.
– **TTPs MITRE ATT&CK:** El ataque se alinea con técnicas como “Data from Local System” (T1005) y “Exploitation for Privilege Escalation” (T1068), ya que permite la obtención de información sensible y la escalada de privilegios.
– **Herramientas y frameworks:** Aunque no se ha liberado un exploit funcional para el público, los investigadores utilizaron entornos de laboratorio personalizados y han demostrado la posibilidad de integrar la técnica en frameworks como Metasploit para pruebas internas.
– **Procesadores afectados:** Según los análisis, están comprometidas las familias Intel Xeon Scalable (Ice Lake, Sapphire Rapids) y AMD EPYC (Rome, Milan), todas ellas con soporte para TME o SME en versiones de firmware y microcódigo anteriores a enero de 2024.

#### Impacto y Riesgos

El principal riesgo reside en la posibilidad de extraer credenciales, claves de cifrado o datos personales procesados en memoria, incluso si el almacenamiento persistente está cifrado. Esto supone una amenaza directa a infraestructuras cloud multiusuario, servidores de bases de datos y sistemas que alojan información regulada bajo GDPR o la inminente NIS2. Según estimaciones preliminares, hasta un 60% de los servidores en entornos empresariales podrían estar expuestos si no han aplicado las últimas actualizaciones de firmware y microcódigo. El impacto económico potencial es elevado, considerando los costes asociados a brechas de datos, sanciones regulatorias y daños reputacionales.

#### Medidas de Mitigación y Recomendaciones

A la espera de actualizaciones oficiales, los principales fabricantes han recomendado aplicar los últimos parches de microcódigo disponibles y restringir el acceso físico y lógico a sistemas críticos. Otras contramedidas incluyen:

– **Separación de cargas de trabajo sensibles:** Minimizar el co-residency de aplicaciones de distinta criticidad en sistemas compartidos.
– **Monitorización de patrones anómalos:** Implementar soluciones EDR y SIEM que alerten sobre accesos inusuales a memoria o comportamientos atípicos de procesos privilegiados.
– **Actualización de políticas de seguridad:** Revisar los controles de acceso y reforzar la segmentación de red.
– **Aplicación de técnicas de zero trust:** Adoptar el principio de privilegios mínimos y segmentación granular.

#### Opinión de Expertos

Especialistas como David Barroso, CTO de CounterCraft, subrayan que “la aparición de este tipo de ataques demuestra que la seguridad basada únicamente en hardware es insuficiente y que debe complementarse con defensa en profundidad y monitorización continua”. Otros expertos señalan la necesidad de replantear la confianza en entornos multi-tenant y la urgencia de adoptar soluciones resistentes a ataques físicos y lógicos combinados.

#### Implicaciones para Empresas y Usuarios

Para las empresas, el hallazgo implica revisar de inmediato las arquitecturas de seguridad y priorizar la actualización de firmware y microcódigo en servidores y estaciones de trabajo, especialmente en sectores críticos como finanzas, sanidad y administración pública. Los proveedores de servicios cloud deben comunicar a sus clientes los riesgos y las medidas adoptadas, cumpliendo con las obligaciones de transparencia recogidas en GDPR y anticipándose a los requisitos de NIS2. Para los usuarios, es esencial exigir garantías sobre la protección de sus datos en plataformas de terceros.

#### Conclusiones

El ataque demostrado por los investigadores revela limitaciones cruciales en las actuales soluciones de cifrado de memoria a nivel de hardware, obligando a la industria a reconsiderar sus estrategias de defensa. La aplicación urgente de parches, la monitorización activa y la adopción de arquitecturas de seguridad avanzadas son ahora imprescindibles para mitigar riesgos y evitar brechas de datos con graves consecuencias legales y económicas.

(Fuente: www.darkreading.com)