Investigadores han revelado como periféricos Thunderbolt y PCI Express (PCIe) maliciosos pueden ser utilizados para comprometer ordenadores macOS, Windows, Linux y FreeBSD.
En una presentación del Network and Distributed System Security Symposium (NDSS) de la semana pasada, la vulnerabilidad llamada “Thunderclap” tiene que ver con el acceso directo a memoria (DMA), una técnica estándar para mejorar la velocidad de acceso a la memoria principal desde el almacenamiento, controladores USB, red y tarjetas gráficas.
Más recientemente, el mismo privilegio de bajo nivel se ha incluido en periféricos externos como Firewire, Thunderbolt 2 y 3, y USB-C, extendiendo el peligro de un ataque DMA desde subsistemas de confianza incorporados en el ordenador a prácticamente cualquier cosa que se le pueda conectar.
Durante años se ha teorizado sobre ataques DMA por lo que su acceso está garantizado por direcciones virtuales gestionadas por el sistema operativo en conjunción con las unidades de gestión de memoria de entrada y salida (IOMMU) del hardware.
Para comprobar y modelar como asegurar el acceso DMA de los periféricos en condiciones reales, en 2015 los investigadores crearon su propio dispositivo FPGA (llamado Thunderclap) que constaba de puertos PCIe e interfaces externas Thunderbolt 2/3, USB-C.
Desafortunadamente los investigadores señalaron que los IOMMUs no son tan efectivos como los creadores de sistemas habían asumido por una red compleja de razones:
El software de los interfaces DMA de periféricos no se ha implementado cuidadosamente por código testeado por décadas de ataques maliciosos, si no que por miles de drivers diseñados históricamente por la confianza mutua, para facilitar el hardware y maximizar su rendimiento.
Resumiendo, hay varias formas que un periférico malicioso puede manipular o pasar la capa IOMMU, sin la ayuda de los desarrolladores de sistemas operativos y drivers de periféricos implementado acceso en una gran variedad de formas.
El interfaz Thunderbolt de Intel-Apple estaba particularmente en el punto de mira porque lleva funcionando años y está presente prácticamente en todos los ordenadores y portátiles de Apple. En el blog de los investigadores se dice:
Estas vulnerabilidades permiten a un atacante que tenga acceso a un puerto Thunderbolt el comprometer la máquina en cuestión de segundos, ejecutando código al más alto nivel y potencialmente obteniendo acceso a contraseñas, registros bancarios, claves de cifrado, ficheros privados y datos de navegación entre otros.
¿Qué ordenadores están afectados
En primer lugar cualquier ordenador con un puerto Thunderbolt y que ejecute Windows, Linux o FreeBSD así como macOS.
Sin embargo como Thunderbolt ha sido el estándar para Mac desde 2011 y solo se introdujo en Windows y Linux más recientemente, esa es la plataforma que tiene más peligro. Todos los modelos de Apple están afectados (salvo el MacBook de 12 pulgadas), incluyendo los modelos a partir de 2016 con Thunderbolt 3 sobre USB-C así como los más antiguos con Mini DisplayPort.
El problema no se ciñe a Thunderbolt y puede afectar tarjetas PCIe, que se encuentran en multitud de ordenadores, si estas se comprometieran de algún modo en la cadena de suministro, lo que parece poco probable ya que Thunderbolt y otros periféricos externos son una línea de ataque mucho más sencilla.
¿Qué hacer?
Depende de lo en serio que te tomes la posibilidad de un ataque que existe como una prueba de concepto. Si te preocupa, desactivar el puerto Thunderbolt es una solución aunque puede ser difícil o inconveniente dependiendo del ordenador.
Los investigadores sugieren evitar estaciones públicas de cargar USB-C y estar alerta al usar periféricos desconocidos;
Si salta una pantalla, no la deberías aceptar, especialmente si se refiere a instalar drivers, y deberías desconectar y no usar ese dispositivo.
¿Puede aparecer un parche?
Todos los proveedores fueron informados en 2016 y han mitigado parcialmente el problema con actualizaciones, específicamente la macOS 10.12.4 y posteriores, Windows 10 versión 1803 y siguientes y los parches de Intel para el kernel de Linux v5.0.
Sin embargo, dicen los investigadores, estos parches no solucionan todos los riesgos, incluyendo los de las tarjetas PCIe.
A largo plazo, la posibilidad que periféricos maliciosos con acceso privilegiado que el sistema operativo no puede parar, parece surgir como otro complicado problema de seguridad que los desarrolladores tendrán que intentar solucionar con mucho esfuerzo.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario