Introducción
Desde enero de 2018, el equipo de Surface ha estado publicando actualizaciones de firmware para una nueva clase de vulnerabilidades de hardware que implican canales laterales de ejecución especulativa. El equipo no ha recibido ninguna información que indique que estas vulnerabilidades se han usado para atacar a clientes en este momento y sigue trabajando estrechamente con el equipo de Windows y los partners del sector para proteger los clientes. Para obtener todas las protecciones disponibles, se requieren actualizaciones tanto de hardware como del sistema Windows.
Resumen
El equipo de Surface es consciente de las nuevas variantes de ataque de canal lateral de ejecución especulativa que también afectan a los productos Surface. Para mitigar estas vulnerabilidades es necesario instalar una actualización del sistema operativo y una actualización de la UEFI de Surface que incluye microcódigo nuevo. Para obtener más información sobre las vulnerabilidades y las mitigaciones correspondientes, consulte los siguientes avisos de seguridad:
Estamos trabajando con nuestros partners para proporcionar actualizaciones para los siguientes productos Surface tan pronto como podamos asegurarnos de que las actualizaciones satisfagan nuestros requisitos de seguridad:
-
Surface 3: actualización del 11 de julio de 2019
-
Surface Pro 3: actualización del 11 de julio de 2019
-
Surface Pro 4: actualización del 27 de junio de 2019
-
Surface Book: actualización del 27 de junio de 2019
-
Surface Studio: actualización del 11 de julio de 2019
-
Surface Pro (5ª generación): actualización del 27 de junio de 2019
-
Surface Laptop: actualización del 27 de junio de 2019
-
Surface Book 2: actualización del 27 de junio de 2019
-
Surface Pro 6: actualización del 27 de junio de 2019
-
Surface Laptop 2: actualización del 27 de junio de 2019
-
Surface Studio 2:actualización del 31 de julio de 2019
-
Surface GO WiFi
-
Surface GO LTE
Además del nuevo microcódigo, podrá disponer de una nueva configuración de UEFI que se conoce como “subprocesamiento múltiple simultáneo (SMT)” al instalar la actualización de UEFI. Esta configuración permite que el usuario deshabilite la tecnología Hyper-Threading.
Notas
-
Si decide deshabilitar la tecnología Hyper-Threading, le recomendamos que use la nueva configuración SMT de UEFI.
-
La deshabilitación de SMT proporciona la mejor protección posible contra estas nuevas vulnerabilidades y contra el ataque L1 Terminal Fault que se anunció anteriormente. Sin embargo, este método también afecta al rendimiento del dispositivo.
-
Surface 3 y Surface Studio con Intel Core i5 no tienen SMT. Por lo tanto, estos dispositivos no incluyen esta nueva configuración.
-
La herramienta de configuración de UEFI, Modo de administración de proyectos empresariales de Microsoft Surface (SEMM), versión 2.43.139 o posterior, admite la nueva configuración SMT. Las herramientas se pueden descargar desde esta página web. Descargue las siguientes herramientas necesarias:
-
SurfaceUEFI_Configurator_v2.43.139.0.msi
-
SurfaceUEFI_Manager_v2.43.139.0.msi
-
Referencias
El equipo de Surface está al tanto de un nuevo ataque de canal lateral de ejecución especulativa llamado L1 Terminal Fault (L1TF) y asignado CVE-2018-3620 (SO y SMM) y CVE-2018-3646 (VMM). Los productos de Surface afectados son los mismos que se mencionan en la sección “Vulnerabilidades anunciadas en mayo de 2018” de este artículo. Las actualizaciones del microcódigo que mitigan los hallazgos de mayo de 2018 también mitigan la vulnerabilidad L1TF (CVE-2018-3646). Para obtener más información sobre la vulnerabilidad y las mitigaciones correspondientes, consulte el siguiente aviso de seguridad:
El aviso de seguridad propone que los clientes que utilizan Seguridad basada en virtualización (VBS), la cual incluye funciones de seguridad como Credential Guard y Device Guard, deberían considerar deshabilitar Hyper-Threading para poder eliminar completamente el riesgo de L1TF. Actualmente, los clientes no pueden deshabilitar Hyper-Threading en sus dispositivos Surface. Por defecto, las funciones de VBS están deshabilitadas en dispositivos Surface. El equipo de Surface está investigando opciones para permitir la deshabilitación de Hyper-Threading.
Referencias
El equipo de Surface ha tomado conocimientos de nuevas variantes de ataque de canal lateral de ejecución especulativa que también afectan a los productos Surface. La mitigación de dichas vulnerabilidades requiere actualizaciones de la UEFI que usan microcódigo nuevo. Para obtener más información sobre las vulnerabilidades y la mitigación correspondiente, consulte los siguientes avisos de seguridad:
Estamos trabajando con nuestros partners para proporcionar actualizaciones para los siguientes productos Surface tan pronto como podamos asegurarnos de que las actualizaciones satisfagan nuestros requisitos de seguridad:
-
Surface Book 2 - Actualización del 1 de agosto de 2018
-
Surface Book - Actualización del 21 de agosto de 2018
-
Surface Laptop - Actualización del 25 de julio de 2018
-
Surface Studio - Actualización del 1 de octubre de 2018
-
Surface Book 4 - Actualización del 25 de julio de 2018
-
Surface Book 3 - Actualización del 7 de agosto de 2018
-
Surface Pro, modelo 1796 y Surface Pro con LTE avanzado, modelo 1807 - Actualización del 26 de julio de 2018
Referencias
El equipo de Surface es consciente de la clase de vulnerabilidades divulgadas públicamente que involucran canales laterales de ejecución especulativa (conocidas como Spectre y Meltdown) que afectan a muchos sistemas operativos y procesadores modernos, incluidos Intel, AMD y ARM. Para obtener más información sobre las vulnerabilidades y las mitigaciones correspondientes, consulte los siguientes avisos de seguridad:
Aviso de seguridad de Microsoft ADV180002
Para obtener más información sobre las actualizaciones de software para Windows, consulte los siguientes artículos de Knowledge Base:
-
4073757 Proteja sus dispositivos Windows contra Spectre y Meltdown
-
4073119 Guía del cliente Windows para profesionales de TI para protegerse contra vulnerabilidades del canal lateral de ejecución especulativa
Además de instalar las actualizaciones de seguridad del sistema operativo Windows del 3 de enero, Surface publicó actualizaciones de la UEFI a través de Windows Update y el centro de descargas para los dispositivos siguientes:
-
Surface Book 2: (Historial de actualizaciones)
-
Surface Book: (Historial de actualizaciones)
-
Surface Laptop: (Historial de actualizaciones)
-
Surface Studio: (Historial de actualizaciones)
-
Surface Pro 4: (Historial de actualizaciones)
-
Surface Pro 3: (Historial de actualizaciones)
-
Surface 3: (Historial de actualizaciones)
-
Surface Pro, modelo 1796 y Surface Pro con LTE avanzado, modelo 1807: (Historial de actualizaciones)
Estas actualizaciones están disponibles para los dispositivos que ejecuten Windows 10 Creators Update (compilación 15063) y versiones posteriores.
Referencias
Más información
Surface Hub ha implementado estrategias exhaustivas de defensa. Para obtener más información al respecto, consulte el tema siguiente en el sitio web Windows IT Pro Center:
Diferencias entre Surface Hub y Windows 10 Enterprise
Debido a esto, creemos que las vulnerabilidades de seguridad que aprovechan estas grietas se han reducido notablemente en Surface Hub.
El equipo de Surface está centrado en garantizar que nuestros usuarios disfruten de una experiencia segura y confiable. Seguiremos supervisando y actualizando los dispositivos cuando sea necesario para resolver estas vulnerabilidades y garantizar la confiabilidad y seguridad de los dispositivos.