Los fabricantes han emitido actualizaciones de BIOS para abordar los problemas, pero los investigadores advierten que los ataques DMA son posibles contra una variedad de computadoras portátiles y de escritorio.
Las vulnerabilidades en las computadoras portátiles Dell y HP podrían permitir que un atacante acceda a la información y obtenga privilegios de kernel a través de la función de Acceso Directo a Memoria (DMA) de los dispositivos.
DMA es un enfoque de eficiencia de procesamiento para periféricos (como tarjetas PCI o tarjetas de interfaz de red) que, como su nombre indica, ofrece acceso directo de alta velocidad a la memoria de un sistema.
"Por ejemplo, un adaptador de red o dispositivo Firewire puede necesitar leer y escribir información rápidamente", según un informe de Eclypsium, publicado el jueves . “Pasar este tráfico al sistema operativo y volver a bajarlo es lento e ineficiente. En cambio, DMA permite que los dispositivos se comuniquen directamente con la memoria del sistema sin pasar por el sistema operativo [o la CPU principal]”.
Si bien es útil para conservar la potencia de procesamiento, DMA puede ofrecer a los ciberatacantes un boleto de alta velocidad para leer y escribir memoria directamente en un sistema víctima. También puede permitir a los atacantes eludir las protecciones de la raíz de confianza y la cadena de confianza basadas en hardware, como UEFI Secure Boot, Intel Boot Guard, HP Sure Start y Microsoft Virtualization-Based Security, de acuerdo a lo encontrado por Eclypsium en su investigación.
Si tiene éxito en un intento de compromiso, "un atacante puede extender el control sobre la ejecución del núcleo (kernel)", según el informe. "Esto puede permitir que un atacante ejecute código a nivel de kernel en el sistema, inserte una amplia variedad de códigos y realice una gran cantidad de actividad adicional, como generar shells del sistema o eliminar los requisitos de contraseña".
Errores en las computadoras portátiles Dell y HP
Al probar las protecciones DMA en las computadoras portátiles modernas, el equipo de Eclypsium descubrió que la computadora portátil convertible 2 en 1 XPS 13 7390 de Dell, lanzada en octubre de 2019, es susceptible a los ataques DMA previos al arranque.
El error de alta gravedad ( CVE-2019-18579 ) es una configuración de BIOS predeterminada insegura en la configuración de firmware predeterminada del dispositivo; esto se configuró en "Activar módulos de prearranque Thunderbolt (y PCIe detrás de TBT)". Según el aviso de Dell, un atacante local no autenticado con acceso físico al sistema de un usuario puede obtener acceso de lectura o escritura a la memoria principal a través de un ataque DMA durante el arranque de la computadora. Dell lanzó una actualización de BIOS Dell para solucionar el problema, desactivando la configuración de forma predeterminada.
"Pudimos realizar la inyección de código DMA directamente a través de Thunderbolt [una interfaz de tipo USB para periféricos] durante el proceso de arranque", escribieron los investigadores de Eclypsium, y agregaron que el ataque es por lo tanto "chasis cerrado", es decir, los atacantes no necesitarían abrir el PC o case de la computadora para llevarlo a cabo. "Un atacante podría simplemente conectarse al puerto expuesto del dispositivo sin tener que modificar el dispositivo", agregaron.
La segunda falla se encontró en el HP ProBook 640 G4, que incluye el HP Sure Start Gen4. El informe señaló que HP Sure Start "incorpora un controlador integrado diseñado para verificar la integridad del BIOS antes de que la CPU ejecute su primera línea de código", lo que evita los ataques de chasis cerrado. Sin embargo, el equipo descubrió que todavía era posible un ataque DMA previo al arranque de chasis abierto (donde la computadora está abierta).
El error (que no tiene un CVE) permite a los atacantes comprometer la interfaz de firmware extensible unificada (UEFI) del sistema, que es una especificación que define una interfaz de software entre un sistema operativo y el firmware de la plataforma. Un compromiso permitiría la ejecución de código no autorizado desde el comienzo del proceso de arranque, antes de la transferencia al sistema operativo.
“Un ataque DMA previo al arranque funciona en este momento crítico y tiene el potencial de comprometer por completo un sistema, incluso cuando se emplean otras protecciones de integridad de código (como HP Sure Start, Intel Boot Guard o Microsoft Virtualization Based Security con Device Guard) ", Dijeron los investigadores de Eclypsium.
El equipo descubrió que un ataque podría llevarse a cabo si se abría el dispositivo, permitiendo que la tarjeta inalámbrica M.2 en el sistema fuera reemplazada por una plataforma de desarrollo FPGA Xilinx SP605.
“El FPGA se conectó a nuestra máquina de ataque y probó el sistema contra una técnica de ataque DMA pública y conocida. Pudimos atacar con éxito el sistema y obtener el control sobre el dispositivo ", según el informe. "Al usar DMA para modificar la RAM del sistema durante el proceso de arranque, obtuvimos una ejecución de código arbitrario, evitando así las protecciones HP Sure Start que verifican la integridad del código del BIOS antes de que comience la ejecución de la CPU".
En respuesta a los hallazgos, HP lanzó una versión actualizada del BIOS para corregir la falla.
La firma de investigación enfatizó que el HP ProBook 640 G4 probablemente no sea el único en ser vulnerable a tal ataque.
"Los procesos previos al arranque son un área de debilidad en todas las computadoras portátiles y servidores de muchos fabricantes", escribieron los investigadores. “En el caso de HP, aunque la máquina no era susceptible a un ataque de case cerrado, la versión de HP Sure Start en el modo que probamos era insuficiente para protegerlo contra nuestro tipo de ataque. Hay muchos componentes, desde el hardware hasta el firmware y el sistema operativo, que todos deben trabajar juntos para evitar ataques DMA previos al arranque”.
Si bien ambas vulnerabilidades descubiertas permiten exploits que requieren acceso físico a los dispositivos, los investigadores señalaron que, en general, los ataques DMA también pueden llevarse a cabo de forma remota utilizando malware. A saber: después de montar un ataque e implantar malware en un dispositivo objetivo, un atacante puede obtener privilegios adicionales y control sobre un host comprometido.
"Por ejemplo, el malware en un dispositivo podría usar un controlador vulnerable para implantar firmware malicioso en un dispositivo con capacidad DMA, como una tarjeta de interfaz de red", según el informe. “Ese código malicioso podría entonces volver a DMA en la memoria durante el arranque para obtener una inyección de código arbitrario durante el proceso de arranque. La capacidad fundamental de los ataques DMA para colocar el código del atacante en el proceso de arranque lo hace útil para casi cualquier tipo de objetivo para el atacante ".
Fuente: Threat Post
0 Comentarios