Los piratas inform√°ticos pueden usar errores de Intel recientemente corregidos para instalar firmware malicioso en las PC

Los piratas inform√°ticos pueden usar errores de Intel recientemente corregidos para instalar firmware malicioso en las PC

im√°genes falsas

A medida que la cantidad de datos confidenciales almacenados en computadoras se ha disparado durante la √ļltima d√©cada, los fabricantes de hardware y software han invertido cantidades cada vez mayores de recursos para proteger los dispositivos de ataques f√≠sicos en caso de p√©rdida, robo o confiscaci√≥n. A principios de esta semana, Intel corrigi√≥ una serie de errores que permit√≠an a los atacantes instalar firmware malicioso en millones de computadoras usando sus CPU.

Las vulnerabilidades permitieron a los piratas inform√°ticos con acceso f√≠sico eludir la protecci√≥n de Intel integrada en las CPU modernas que evita que se ejecute firmware no autorizado durante el proceso de arranque. Conocida como Boot Guard, la medida est√° dise√Īada para anclar una cadena de confianza directamente en el silicio para garantizar que todo el firmware cargado est√© firmado digitalmente por el fabricante de la computadora. Boot Guard protege contra la posibilidad de que alguien manipule el chip flash adjunto a SPI que almacena el UEFI, que es una pieza compleja de firmware que vincula el firmware del dispositivo de una PC con su sistema operativo.

Seguridad reforzada mediante hardware

Estos tipos de ataques suelen ocurrir cuando los atacantes conectan hardware dentro de una computadora y usan Dediprog o herramientas de programación de chips similares para reemplazar el firmware autorizado con firmware malicioso.

Trammel Hudson

Como explica Intel aquí:

La ejecución del código UEFI BIOS generalmente no está vinculada al hardware subyacente, lo que significa que este código UEFI BIOS se ejecuta sin ser verificado o medido. Por lo tanto, esto hace que todo el proceso de arranque sea vulnerable a la subversión del BIOS, ya sea que esto se pueda hacer a través de un proceso de actualización sin protección o simples ataques de hardware usando el reemplazo de memoria flash SPI o usando un Dediprog.

Intel Boot Guard proporciona controles robustos de políticas de arranque aplicadas por hardware a los fabricantes y propietarios de plataformas para autorizar qué código de BIOS puede ejecutarse en esa plataforma. Intel Boot Guard proporciona una raíz de confianza (RoT) basada en hardware para la verificación de arranque de la plataforma, que es responsable de verificar la imagen del BIOS antes de ejecutar el BIOS. Intel Boot Guard eleva el nivel de seguridad de la plataforma, reduciendo los vectores de ataque antes mencionados y haciendo más difícil lanzar ataques para subvertir el proceso de arranque.

A principios de este a√Īo, el investigador de seguridad Trammell Hudson descubri√≥ tres vulnerabilidades que imped√≠an que Boot Guard funcionara cuando una computadora sal√≠a del modo de suspensi√≥n. T√©cnicamente conocido como S3, este modo conserva todos los elementos almacenados en la memoria de la computadora pero apaga completamente la CPU.

Protector de bota subvertido

Un atacante que pudiera eludir Boot Guard mientras se despertaba podr√≠a realizar una variedad de actividades maliciosas. El principal de ellos es utilizar las claves para cifrar los discos duros, siempre que las claves est√©n almacenadas en la memoria, como es el caso de muchas computadoras durante la hibernaci√≥n. Con esto, un atacante podr√≠a obtener versiones descifradas de todos los datos almacenados en la computadora sin solicitar la contrase√Īa del usuario.

Un atacante también podría infectar la máquina con un rootkit, un código malicioso que es difícil o imposible de detectar, que se ejecutaría en modo de administración del sistema hasta el siguiente reinicio. Estos implantes SMM son el tipo de cosas que se dice que tiene la NSA.

Si bien estos tipos de exploits son graves, los escenarios de ataque son limitados porque el hack no se puede realizar de forma remota. Para muchas personas, los ataques que requieren acceso físico no forman parte de su modelo de amenaza. También requeriría habilidades de hardware y firmware y herramientas especiales como Dediprog o Spispy, un emulador flash de código abierto desarrollado por Hudson. En un artículo publicado esta semana, Hudson escribió:

Dado que CVE-2020-8705 requiere acceso físico, es más difícil de usar para un atacante que un exploit remoto. Sin embargo, existen algunos escenarios de ataque realistas en los que podría usarse.

Un ejemplo es el despacho de aduanas en un aeropuerto. La mayor√≠a de los viajeros bloquean sus computadoras port√°tiles en el descenso y permiten que entre en suspensi√≥n S3. Si la agencia antagonista toma el dispositivo al aterrizar, las claves de cifrado del disco todav√≠a est√°n en la memoria. El oponente puede quitar la cubierta inferior y conectar un emulador flash interno al sistema, como el spispy al chip flash. Pueden activar la m√°quina y darle el firmware a trav√©s de spispy. Este firmware puede escanear la memoria para localizar el proceso de la pantalla de bloqueo del sistema operativo y deshabilitarlo, luego permitir que el sistema se reanude normalmente. Ahora tienen acceso al dispositivo desbloqueado y sus secretos, sin necesidad de que el propietario proporcione una contrase√Īa.

El oponente tambi√©n puede instalar su propio rootkit SMM ¬ęRing -2¬Ľ en este punto, que permanecer√° residente hasta el pr√≥ximo reinicio. Esto podr√≠a proporcionarles la ejecuci√≥n de c√≥digo en el sistema cuando se cambia a una red confiable, lo que potencialmente permite el movimiento horizontal.

Otro ejemplo es una instalación de hardware que emula el flash SPI. El iCE40up5k [a small field-programmable gate array board] usado en una de las variantes spispy, encaja fácilmente dentro o debajo de un paquete SOIC-8, lo que permite un ataque persistente contra la ruta de recuperación. Dado que la FPGA puede distinguir fácilmente entre un arranque en frío y la validación del sistema que se reanuda desde la suspensión, el dispositivo puede proporcionar una versión limpia del firmware con la firma correcta cuando es validado o leído por una herramienta como flashrom y solo proporciona la versión modificada durante una recuperación de la suspensión. Este tipo de implante sería muy difícil de detectar mediante software y, si se hace correctamente, no se vería fuera de lugar en la placa base.

La solucion esta en

Una de las vulnerabilidades de Boot Guard provino de los ajustes de configuración que los fabricantes literalmente queman en la CPU a través de un proceso llamado fusibles programables de una sola vez. Los OEM deben tener la capacidad de configurar el chip para ejecutar Boot Guard cuando una computadora sale de S3 o no. Hudson no está seguro de por qué los cinco fabricantes que probó lo apagaron, pero sospecha que es porque las máquinas se recuperan mucho más rápido de esta manera.

En un correo electr√≥nico, un portavoz de Intel escribi√≥: ‚ÄúIntel ha sido notificado de una vulnerabilidad que afecta a Intel Boot Guard donde un ataque f√≠sico puede evitar la autenticaci√≥n de Intel Boot Guard cuando se reanuda desde la suspensi√≥n. . Intel ha publicado mitigaciones y recomienda mantener la posesi√≥n f√≠sica de los dispositivos ¬ę.

Intel no dice cómo solucionó una vulnerabilidad que resulta de la configuración de fusibles que no se puede restablecer. Hudson sospecha que Intel realizó el cambio utilizando firmware que se ejecuta en Intel Management Engine, un coprocesador de seguridad y administración dentro del chipset de la CPU que administra el acceso a los fusibles OTP, entre muchas otras cosas. (A principios de esta semana, Intel publicó aquí detalles nunca antes revelados sobre el ME).

Las otras dos vulnerabilidades provienen de fallas en la forma en que las CPU recuperan el firmware cuando se encienden. Las tres vulnerabilidades se indexaron con el ID de seguimiento √ļnico CVE-2020-8705, que recibi√≥ una puntuaci√≥n de gravedad alta de Intel. (Intel tiene una descripci√≥n general de todos los parches de seguridad de noviembre aqu√≠. Los fabricantes de computadoras comenzaron a ofrecer actualizaciones esta semana. La publicaci√≥n de Hudson, vinculada arriba, tiene un informe t√©cnico y mucho m√°s detallado.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *