Tu computadora puede ser hackeada a través del puerto USB Tipo-C

Estándar

Unos investigadores de seguridad han descubierto una nueva clase de vulnerabilidades de seguridad que afecta a todos los principales sistemas operativos, incluidos Microsoft Windows, Apple macOS, Linux y FreeBSD. Que permite a los atacantes eludir los mecanismos de protección establecidos para defenderse de los ataques DMA (Direct Memory Access).

Conocidos desde hace años, los ataques basados en el acceso directo a la memoria (DMA) permiten que un atacante ponga en peligro una computadora específica en cuestión de segundos al conectar un dispositivo malicioso de conexión en caliente, como puede ser una tarjeta de red externa, mouse, teclado, impresora o dispositivo de almacenamiento externo en el puerto Thunderbolt 3 o el nuevo USB Tipo-C.

Los ataques basados en DMA son posibles porque el puerto Thunderbolt permite que los periféricos conectados eviten las políticas de seguridad del sistema operativo y la memoria del sistema es accesible de forma directa en modo lectura/escritura, de esta forma se tiene acceso a la información confidencial que contiene la memoria, incluidas las contraseñas, los inicios de sesión bancarios, los archivos privados y la actividad del navegador.

Eso significa que, simplemente conectando un dispositivo infectado, creado con herramientas como Inception, se puede manipular el contenido de la memoria y ejecutar código arbitrario con privilegios mucho más altos que los periféricos USB a los que en teoría deberían estar restringidos estos dispositivos. Permitiendo de esta manera a los atacantes eludir la pantalla de bloqueo o controlar las PC de forma remota.

Para bloquear los ataques basados en DMA, la mayoría de los sistemas operativos y dispositivos hacen uso de una técnica de protección llamada Unidad de Administración de Memoria de Entrada/Salida (IOMMU por sus siglas en inglés) para controlar qué dispositivo periférico (generalmente legítimo) puede acceder a la memoria y a qué región de la memoria tiene acceso.

La vulnerabilidad llamada ThunderClap omite IOMMU para volver a habilitar los ataques DMA.

Ahora, un equipo de investigadores de ciberseguridad de la Universidad de Cambridge, la Universidad de Rice y SRI International han presentado un conjunto de nuevas vulnerabilidades en varios sistemas operativos principales que podrían permitir a los atacantes eludir la protección de IOMMU.

Al imitar la funcionalidad de un dispositivo periférico legítimo, un atacante puede engañar a los sistemas operativos para que le den acceso a regiones sensibles de la memoria.

En un documento [PDF] publicado a principios de esta semana, los investigadores detallaron la información técnica de todas las nuevas vulnerabilidades que afirmaron haber descubierto mediante el uso de un conjunto de hardware/software, llamado Thunderclap, que construyeron y también liberaron con licencia de código abierto.

Además de esto, los investigadores también destacaron que, dado que IOMMU no se habilita de forma predeterminada en la mayoría de los sistemas operativos y que los dispositivos modernos tienen USB Tipo-C, la superficie expuesta a estos tipos de ataque al DMA ha aumentado significativamente, lo que anteriormente se limitaba principalmente a los dispositivos Apple con puertos Thunderbolt 3.

Aquí una tabla que resume los sistemas operativos afectados por esta nueva vulnerabilidad:

¿Cómo protegerse contra la vulnerabilidad Tunderclap?

Los investigadores han informado de sus hallazgos a todos los principales proveedores de hardware y sistemas operativos y la mayoría de ellos ya han enviado una mitigación importante para hacer frente a las vulnerabilidades de Thunderclap.

Aunque no todos los parches de software pueden bloquear por completo los ataques DMA, se recomienda a los usuarios que instalen las actualizaciones de seguridad disponibles para reducir la superficie de ataque. Según los investigadores, la mejor manera de protegerse por completo es deshabilitar los puertos Thunderbolt en sus computadoras si es que no necesitan usar ese tipo de dispositivos.

Además, los investigadores también desarrollaron un hardware de prueba de concepto que puede ejecutar las vulnerabilidades de ThunderClap en sistemas específicos, pero optaron por no lanzarlo en público en este momento.