Los
investigadores de seguridad han revelado un nuevo ataque para robar
contraseñas, claves de encriptación y otra información sensible
almacenada en la mayoría de las computadoras modernas, incluso aquellas
con cifrado de disco completo.
El ataque es una nueva variación de un ataque de arranque en frío tradicional, que está disponible desde 2008 y permite a los atacantes robar información que permanece brevemente en la memoria (RAM) después de que se apaga la computadora.
Sin embargo, para que los ataques de arranque en frío sean menos efectivos, la mayoría de las computadoras modernas vienen con protección, creada por Trusted Computing Group (TCG), que sobrescribe el contenido de la RAM cuando se restablece el poder del dispositivo, evitando que los datos siendo leído.
Ahora, investigadores de la firma de seguridad cibernética finlandesa F-Secure descubrieron una nueva forma de desactivar esta medida de seguridad de sobreescritura manipulando físicamente el firmware de la computadora, permitiendo potencialmente que los atacantes recuperen datos confidenciales almacenados en la computadora después de un reinicio en frío en cuestión de pocos minutos.
El ataque es una nueva variación de un ataque de arranque en frío tradicional, que está disponible desde 2008 y permite a los atacantes robar información que permanece brevemente en la memoria (RAM) después de que se apaga la computadora.
Sin embargo, para que los ataques de arranque en frío sean menos efectivos, la mayoría de las computadoras modernas vienen con protección, creada por Trusted Computing Group (TCG), que sobrescribe el contenido de la RAM cuando se restablece el poder del dispositivo, evitando que los datos siendo leído.
Ahora, investigadores de la firma de seguridad cibernética finlandesa F-Secure descubrieron una nueva forma de desactivar esta medida de seguridad de sobreescritura manipulando físicamente el firmware de la computadora, permitiendo potencialmente que los atacantes recuperen datos confidenciales almacenados en la computadora después de un reinicio en frío en cuestión de pocos minutos.
"Los
ataques de arranque en frío son un método conocido para obtener claves
de cifrado de los dispositivos. Pero la realidad es que los atacantes
pueden tener acceso a todo tipo de información mediante estos ataques.
Las contraseñas, las credenciales de las redes corporativas y cualquier
información almacenada en la máquina están en riesgo ", advierte la firma de seguridad en una publicación de blog publicada hoy.
Demostración de video del nuevo ataque de arranque en frío
Usando una herramienta simple, los investigadores pudieron reescribir el chip de memoria no volátil que contiene la configuración de sobrescritura de memoria, desactivarla y habilitar el arranque desde dispositivos externos. También puedes ver la demostración de video que realiza el ataque a continuación.
Al igual que el ataque de arranque en frío tradicional, el nuevo ataque también requiere acceso físico al dispositivo de destino, así como las herramientas adecuadas para recuperar los datos restantes en la memoria de la computadora.
"No es exactamente fácil de hacer, pero no es un tema lo suficientemente difícil de encontrar y explotar para que ignoremos la probabilidad de que algunos atacantes ya lo hayan descubierto", dice el principal consultor de seguridad de F-Secure Olle Segerdahl, uno de los dos investigadores .
"No es exactamente el tipo de cosa que los atacantes que buscan blancos fáciles usarán. Pero es el tipo de cosa que los atacantes que buscan phishing más grandes, como un banco o una gran empresa, sabrán cómo usarla".
Cómo los usuarios de Microsoft Windows y Apple pueden evitar los ataques de arranque en frío
Según
Olle y su colega Pasi Saarinen, se cree que su nueva técnica de ataque
es efectiva contra casi todas las computadoras modernas e incluso Apple
Mac y no se puede reparar fácil y rápidamente.
Los dos investigadores, que presentarán hoy sus hallazgos en una conferencia de seguridad, afirman que ya compartieron sus hallazgos con Microsoft, Intel y Apple, y los ayudaron a explorar posibles estrategias de mitigación.
Microsoft actualizó su guía sobre las contramedidas de Bitlocker en respuesta a los hallazgos de F-Secure, mientras que Apple dijo que sus dispositivos Mac equipados con un chip T2 de Apple contienen medidas de seguridad diseñadas para proteger a sus usuarios contra este ataque.
Pero para las computadoras Mac sin el último chip T2, Apple recomendó a los usuarios que establezcan una contraseña de firmware para ayudar a fortalecer la seguridad de sus computadoras.
Intel aún tiene que comentar sobre el asunto.
El dúo dice que no existe una manera confiable de "prevenir o bloquear el ataque de arranque en frío una vez que un atacante con los conocimientos adecuados pone sus manos en una computadora portátil", pero sugiere que las empresas puedan configurar sus dispositivos para que los atacantes que usan ataques de arranque en frío no encuentren algo fructífero para robar.
Mientras tanto, el dúo recomienda a los departamentos de TI que configuren todas las computadoras de la compañía para que se apaguen o hibernen (no ingresen al modo de suspensión) y requieren que los usuarios ingresen su PIN de BitLocker cada vez que encienden o restauran sus computadoras.
Los atacantes aún podrían realizar un ataque exitoso de arranque en frío contra computadoras configuradas de esta manera, pero como las claves de cifrado no se almacenan en la memoria cuando una máquina hiberna o se apaga, no habrá información valiosa para que un atacante robe.
Los dos investigadores, que presentarán hoy sus hallazgos en una conferencia de seguridad, afirman que ya compartieron sus hallazgos con Microsoft, Intel y Apple, y los ayudaron a explorar posibles estrategias de mitigación.
Microsoft actualizó su guía sobre las contramedidas de Bitlocker en respuesta a los hallazgos de F-Secure, mientras que Apple dijo que sus dispositivos Mac equipados con un chip T2 de Apple contienen medidas de seguridad diseñadas para proteger a sus usuarios contra este ataque.
Pero para las computadoras Mac sin el último chip T2, Apple recomendó a los usuarios que establezcan una contraseña de firmware para ayudar a fortalecer la seguridad de sus computadoras.
Intel aún tiene que comentar sobre el asunto.
El dúo dice que no existe una manera confiable de "prevenir o bloquear el ataque de arranque en frío una vez que un atacante con los conocimientos adecuados pone sus manos en una computadora portátil", pero sugiere que las empresas puedan configurar sus dispositivos para que los atacantes que usan ataques de arranque en frío no encuentren algo fructífero para robar.
Mientras tanto, el dúo recomienda a los departamentos de TI que configuren todas las computadoras de la compañía para que se apaguen o hibernen (no ingresen al modo de suspensión) y requieren que los usuarios ingresen su PIN de BitLocker cada vez que encienden o restauran sus computadoras.
Los atacantes aún podrían realizar un ataque exitoso de arranque en frío contra computadoras configuradas de esta manera, pero como las claves de cifrado no se almacenan en la memoria cuando una máquina hiberna o se apaga, no habrá información valiosa para que un atacante robe.
Fuente: https://thehackernews.com/
0 Comentarios