Guía de Surface para la protección contra las vulnerabilidades del canal lateral de ejecución especulativa

Introducción

Desde enero de 2018, el equipo de Surface ha estado publicando actualizaciones de firmware para una nueva clase de vulnerabilidades de hardware que implican canales laterales de ejecución especulativa. El equipo no ha recibido ninguna información que indique que estas vulnerabilidades se han usado para atacar a clientes en este momento y sigue trabajando estrechamente con el equipo de Windows y los partners del sector para proteger los clientes. Para obtener todas las protecciones disponibles, se requieren actualizaciones tanto de hardware como del sistema Windows.

Resumen

El equipo de Surface es consciente de las nuevas variantes de ataque de canal lateral de ejecución especulativa que también afectan a los productos Surface. Para mitigar estas vulnerabilidades es necesario instalar una actualización del sistema operativo y una actualización de la UEFI de Surface que incluye microcódigo nuevo. Para obtener más información sobre las vulnerabilidades y las mitigaciones correspondientes, consulte los siguientes avisos de seguridad:

Estamos trabajando con nuestros partners para proporcionar actualizaciones para los siguientes productos Surface tan pronto como podamos asegurarnos de que las actualizaciones satisfagan nuestros requisitos de seguridad:

Además del nuevo microcódigo, podrá disponer de una nueva configuración de UEFI que se conoce como “subprocesamiento múltiple simultáneo (SMT)” al instalar la actualización de UEFI. Esta configuración permite que el usuario deshabilite la tecnología Hyper-Threading.

Notas

  • Si decide deshabilitar la tecnología Hyper-Threading, le recomendamos que use la nueva configuración SMT de UEFI.

  • La deshabilitación de SMT proporciona la mejor protección posible contra estas nuevas vulnerabilidades y contra el ataque L1 Terminal Fault que se anunció anteriormente. Sin embargo, este método también afecta al rendimiento del dispositivo.

  • Surface 3 y Surface Studio con Intel Core i5 no tienen SMT. Por lo tanto, estos dispositivos no incluyen esta nueva configuración.

  • La herramienta de configuración de UEFI, Modo de administración de proyectos empresariales de Microsoft Surface (SEMM), versión 2.43.139 o posterior, admite la nueva configuración SMT. Las herramientas se pueden descargar desde esta página web. Descargue las siguientes herramientas necesarias:

    • SurfaceUEFI_Configurator_v2.43.139.0.msi

    • SurfaceUEFI_Manager_v2.43.139.0.msi

Referencias

El equipo de Surface está al tanto de un nuevo ataque de canal lateral de ejecución especulativa llamado L1 Terminal Fault (L1TF) y asignado CVE-2018-3620 (SO y SMM) y CVE-2018-3646 (VMM). Los productos de Surface afectados son los mismos que se mencionan en la sección “Vulnerabilidades anunciadas en mayo de 2018” de este artículo. Las actualizaciones del microcódigo que mitigan los hallazgos de mayo de 2018 también mitigan la vulnerabilidad L1TF (CVE-2018-3646). Para obtener más información sobre la vulnerabilidad y las mitigaciones correspondientes, consulte el siguiente aviso de seguridad:

El aviso de seguridad propone que los clientes que utilizan Seguridad basada en virtualización (VBS), la cual incluye funciones de seguridad como Credential Guard y Device Guard, deberían considerar deshabilitar Hyper-Threading para poder eliminar completamente el riesgo de L1TF. Actualmente, los clientes no pueden deshabilitar Hyper-Threading en sus dispositivos Surface. Por defecto, las funciones de VBS están deshabilitadas en dispositivos Surface.  El equipo de Surface está investigando opciones para permitir la deshabilitación de Hyper-Threading.

Referencias

El equipo de Surface ha tomado conocimientos de nuevas variantes de ataque de canal lateral de ejecución especulativa que también afectan a los productos Surface. La mitigación de dichas vulnerabilidades requiere actualizaciones de la UEFI que usan microcódigo nuevo. Para obtener más información sobre las vulnerabilidades y la mitigación correspondiente, consulte los siguientes avisos de seguridad:

Estamos trabajando con nuestros partners para proporcionar actualizaciones para los siguientes productos Surface tan pronto como podamos asegurarnos de que las actualizaciones satisfagan nuestros requisitos de seguridad:

Referencias

El equipo de Surface es consciente de la clase de vulnerabilidades divulgadas públicamente que involucran canales laterales de ejecución especulativa (conocidas como Spectre y Meltdown) que afectan a muchos sistemas operativos y procesadores modernos, incluidos Intel, AMD y ARM. Para obtener más información sobre las vulnerabilidades y las mitigaciones correspondientes, consulte los siguientes avisos de seguridad:

Aviso de seguridad de Microsoft ADV180002

Para obtener más información sobre las actualizaciones de software para Windows, consulte los siguientes artículos de Knowledge Base:

  • 4073757 Proteja sus dispositivos Windows contra Spectre y Meltdown

  • 4073119 Guía del cliente Windows para profesionales de TI para protegerse contra vulnerabilidades del canal lateral de ejecución especulativa

Además de instalar las actualizaciones de seguridad del sistema operativo Windows del 3 de enero, Surface publicó actualizaciones de la UEFI a través de Windows Update y el centro de descargas para los dispositivos siguientes:

Estas actualizaciones están disponibles para los dispositivos que ejecuten Windows 10 Creators Update (compilación 15063) y versiones posteriores.

Referencias

Más información

Surface Hub ha implementado estrategias exhaustivas de defensa. Para obtener más información al respecto, consulte el tema siguiente en el sitio web Windows IT Pro Center:

Diferencias entre Surface Hub y Windows 10 Enterprise

Debido a esto, creemos que las vulnerabilidades de seguridad que aprovechan estas grietas se han reducido notablemente en Surface Hub.

El equipo de Surface está centrado en garantizar que nuestros usuarios disfruten de una experiencia segura y confiable. Seguiremos supervisando y actualizando los dispositivos cuando sea necesario para resolver estas vulnerabilidades y garantizar la confiabilidad y seguridad de los dispositivos.

¿Necesita más ayuda?

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Unirse a Microsoft Insider

¿Le ha sido útil esta información?

¿Cómo de satisfecho está con la calidad de la traducción?

¿Qué ha afectado a tu experiencia?

¿Algún comentario adicional? (Opcional)

¡Gracias por sus comentarios!

×