El hardware empresarial sigue siendo vulnerable a Memory Lane …



La mayoría de las computadoras portátiles, estaciones de trabajo y servidores siguen siendo vulnerables a los ataques físicos a través del acceso directo a la memoria, a pesar de las mitigaciones que a menudo están disponibles, según el informe.

Los fabricantes de hardware se han rezagado en proteger incluso los sistemas más recientes de los ataques a través de sus puertos, dejando los sistemas de usuarios y empresas abiertos a la explotación por cualquiera que pueda engancharse solo con el sistema objetivo, afirmó la firma de seguridad Eclypsium en un informe publicado en enero. 30)

Los ataques explotan la función de acceso directo a la memoria, o DMA, de algunas computadoras y servidores que permiten a los periféricos acceder directamente a la memoria del sistema. En una prueba reciente de dos computadoras portátiles modernas, los investigadores de seguridad de la empresa descubrieron que podían comprometer fácilmente los sistemas, uno a través de un puerto y el otro a través de un ataque tipo cadena de suministro al abrir el caso, a pesar de que los fabricantes de firmware tienen soluciones disponibles para mitigar los problemas de seguridad de DMA, dice Jesse Michael, investigador principal de Eclypsium.

«Esto es algo que tradicionalmente ha sido difícil de solucionar para las personas», dice. «Porque aunque hay características de seguridad, capacidades y protecciones que Intel y los proveedores de conjuntos de chips están poniendo en el silicio y el components, … a los diferentes proveedores les toma un tiempo escribir código que permita y realmente configure estas protecciones de components para asegurar el sistema antes de que llegue a manos del cliente «.

No es un problema nuevo
Los ataques no son nuevos. En 2016, Ulf Frisk, un investigador de seguridad con sede en Suecia, publicó PCILeech, un programa que compromete los sistemas a través de los puertos para proporcionar acceso directo de alta velocidad a la memoria de un sistema. Dichos puertos a menudo se usan para controlar un observe externo, permitir una actualización de gráficos o expandir la memoria. Un online video del ataque de diciembre de 2016 le muestra recuperar la contraseña de FileVault de un MacBook Air simplemente conectando su sistema de ataque a través del puerto Thunderbolt.

Desde 2017, los fabricantes de computadoras portátiles, estaciones de trabajo y servidores han tenido las herramientas para fortalecer sus dispositivos contra tales ataques, pero muchos no han dado los pasos para entregar un sistema seguro a los usuarios finales. Los investigadores de Eclypsium, por ejemplo, compraron una nueva computadora portátil Dell XPS, un modelo presentado en octubre de 2019, y descubrieron que tenía PCI-more than-Thunderbolt habilitado de forma predeterminada. Explotaron fácilmente el problema, dice Michael.

«Si bien los proveedores de dispositivos, los proveedores de chips y los proveedores de sistemas operativos han desarrollado nuevos controles para defenderse de estas amenazas, nuestra investigación muestra que muchos dispositivos con protecciones de hardware incorporadas continúan siendo vulnerables», Eclypsium declarado en el informe.

En diciembre de 2019, Dell emitió un aviso y pasos de mitigación para el problema. Otras líneas de computadoras portátiles no se ven afectadas, afirmó la compañía.

Dar a cualquiera acceso físico a un sistema plantea un riesgo de seguridad. El endurecimiento de los sistemas contra la configuración de ejecución automática para dispositivos conectados al puerto USB, por ejemplo, tomó años y hacks significativos en el Departamento de Defensa de los Estados Unidos para estimular la acción. Deje su computadora portátil desatendida en un café y alguien podría conectar un dispositivo malicioso que compromete el sistema en minutos.

Sin embargo, las presiones del mercado están presionando a más proveedores a adoptar DMA para brindar a los trabajadores y consumidores la capacidad de conectar un keep track of externo o la capacidad de aumentar significativamente la potencia de los gráficos.

«La gente piensa en los límites de la computadora portátil como el perímetro de seguridad, pero si tiene un mouse o teclado modificado, es potencialmente propietario», dice Michael de Eclypsium. «Queremos que las cosas vayan más y más rápido, por lo que estamos agregando capacidades a estos puertos externos. Ahora estamos trayendo todas las capacidades de PCI a través de este puerto externo, y hay algunas ramificaciones de seguridad interesantes (características extendidas) fuera del caso».

La investigación también demuestra que tales ataques podrían ser un peligro para la cadena de suministro para las empresas, si los atacantes pudieran tener acceso práctico durante varios minutos a un sistema para implantar components malicioso. En su segunda prueba, los investigadores reemplazaron la tarjeta inalámbrica de una computadora portátil HP con una plataforma de desarrollo programable, que podría modificar la RAM del sistema durante el arranque, obteniendo el management del dispositivo, afirmó Eclypsium.

HP emitió una versión actualizada del BIOS para solucionar el problema la semana pasada.

Si bien estos ataques no son nuevos, su existencia continua subraya que las empresas deben prestar más atención al firmware de los dispositivos que adquieren, dice Eclypsium. En 2016, Frisk publicó una herramienta para explotar las debilidades de DMA en los sistemas. Conocido como PCILeech, el programa permite a los atacantes atacar sistemas Home windows, Linux y Mac.

«PCILeech es capaz de insertar una amplia gama de implantes de núcleo en los núcleos específicos, lo que permite un fácil acceso a la RAM en vivo y al sistema de archivos a través de una &#39unidad montada&#39», escribió Frisk. «También es posible eliminar el requisito de contraseña de inicio de sesión, cargar controladores no firmados, ejecutar código y generar shells del sistema».

Desde entonces, los proveedores de chips y firmware han producido soluciones a los problemas, pero a menudo incluso los sistemas más recientes no tienen esas mitigaciones activadas, dice Michael de Eclypsium.

«Sabemos cómo resolverlo simplemente no está en manos de todos todavía», dice. «Y algunos proveedores, como (los fabricantes de) una computadora portátil para juegos, quizás nunca pongan este tipo de solución».

Contenido relacionado:

Revisa El borde, La nueva sección de Dark Reading through para características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «7 pasos para la seguridad de IoT en 2020«.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Darkish Looking through, MIT&#39s Know-how Review, Well known Science y Wired Information. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Más strategies





Enlace a la noticia unique