Nuevos defectos vuelven a habilitar los ataques DMA

Iniciado por Dragora, Marzo 01, 2019, 01:54:22 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Marzo 01, 2019, 01:54:22 PM Ultima modificación: Marzo 01, 2019, 04:07:42 PM por Gabriela

Nuevos defectos vuelven a habilitar los ataques DMA en una amplia gama de computadoras modernas


Los investigadores de seguridad han descubierto una nueva clase de vulnerabilidades de seguridad que afecta a todos los principales sistemas operativos, incluidos Microsoft Windows, Apple macOS, Linux y FreeBSD, lo que permite a los atacantes eludir los mecanismos de protección introducidos para defenderse de los ataques DMA.
Conocidos desde hace años, los ataques basados ​​en el acceso directo a la memoria (DMA) permiten que un atacante ponga en peligro una computadora específica en cuestión de segundos al conectar un dispositivo malicioso de conexión en caliente, como una tarjeta de red externa, mouse, teclado, impresora, almacenamiento, y tarjeta gráfica: en el puerto Thunderbolt 3 o el último puerto USB-C .
Los ataques basados ​​en DMA son posibles porque el puerto Thunderbolt permite que los periféricos conectados eviten las políticas de seguridad del sistema operativo y la memoria del sistema de lectura / escritura directa que contiene información confidencial, incluidas las contraseñas, los inicios de sesión bancarios, los archivos privados y la actividad del navegador.

Eso significa que, simplemente conectando un dispositivo infectado, creado con herramientas como Interception , puede manipular el contenido de la memoria y ejecutar código arbitrario con privilegios mucho más altos que los periféricos de bus serie universal, permitiendo a los atacantes eludir la pantalla de bloqueo o controlar las PC de forma remota.
Para bloquear los ataques basados ​​en DMA, la mayoría de los sistemas operativos y dispositivos aprovechan la técnica de protección de la Unidad de administración de memoria de entrada / salida (IOMMU) para controlar qué dispositivo periférico (generalmente legítimo) puede acceder a la memoria y qué región de la memoria.

Las fallas de ThunderClap omiten IOMMU para volver a habilitar los ataques DMA


Ahora, un equipo de investigadores de ciberseguridad de la Universidad de Cambridge, la Universidad de Rice y SRI International ha presentado un conjunto de nuevas vulnerabilidades en varios sistemas operativos principales que podrían permitir a los atacantes eludir la protección de IOMMU .
Al imitar la funcionalidad de un dispositivo periférico legítimo, un atacante puede engañar a los sistemas operativos para que le den acceso a regiones sensibles de la memoria.

En un documento [ PDF ] publicado a principios de esta semana, los investigadores detallaron la información técnica de todas las nuevas vulnerabilidades que afirmaron haber descubierto mediante el uso de una pila de hardware / software, llamada Thunderclap , que construyeron y también lanzaron en el código abierto.






"Nuestro trabajo aprovecha las vulnerabilidades en el uso del sistema operativo IOMMU para comprometer un sistema objetivo a través de DMA, incluso en presencia de un IOMMU que está habilitado y configurado para defenderse de los ataques DMA", dijeron los investigadores.




Además de esto, los investigadores también destacaron que, dado que IOMMU no se habilita de forma predeterminada en la mayoría de los sistemas operativos y que los dispositivos modernos tienen USB-C, la superficie de ataque del ataque DMA ha aumentado significativamente, lo que anteriormente se limitaba principalmente a los dispositivos Apple con puertos Thunderbolt 3 .



"El aumento de las interconexiones de hardware como Thunderbolt 3 sobre USB-C, que combina la entrada de alimentación, la salida de video y el DMA de dispositivo periférico sobre el mismo puerto, aumenta enormemente la aplicabilidad en el mundo real de las vulnerabilidades de Thunderclap".


"En particular, todas las computadoras portátiles y computadoras de escritorio Apple producidas desde 2011 son vulnerables, con la excepción del MacBook de 12 pulgadas. Muchas computadoras portátiles y algunas computadoras de escritorio, diseñadas para funcionar con Windows o Linux producidas desde 2016 también están afectadas; verifique si su computadora portátil es compatible Rayo."





Cómo protegerse contra las vulnerabilidades del trueno


Los investigadores han informado de sus hallazgos a todos los principales proveedores de hardware y sistemas operativos, y la mayoría de ellos ya han enviado una mitigación importante para hacer frente a las vulnerabilidades de Thunderclap.

"En macOS 10.12.4 y versiones posteriores, Apple abordó la vulnerabilidad específica de la tarjeta de red que usamos para lograr una shell de root", dijeron los investigadores. "Recientemente, Intel ha contribuido con parches a la versión 5.0 del kernel de Linux".

"El Proyecto FreeBSD indicó que los dispositivos periféricos maliciosos no están actualmente dentro de su modelo de amenaza para la respuesta de seguridad".


Aunque no todos los parches de software pueden bloquear por completo los ataques DMA, se recomienda a los usuarios que instalen las actualizaciones de seguridad disponibles para reducir la superficie de ataque. Según los investigadores, la mejor manera de protegerse por completo es deshabilitar los puertos Thunderbolt en su máquina, si corresponde.




Además, los investigadores también desarrollaron un hardware de prueba de concepto que puede ejecutar las vulnerabilidades de ThunderClap en sistemas específicos, pero optaron por no lanzarlo en público en este momento.


Fuente:  No tienes permitido ver los links. Registrarse o Entrar a mi cuenta