Los investigadores de seguridad han revelado un nuevo ataque para robar contraseñas, claves de cifrado y otra información confidencial almacenada en la mayoría de las computadoras modernas, incluso en aquellas con cifrado total del disco.

El ataque es una nueva variación de un ataque de Cold Boot (arranque en frío) tradicional, que existe desde 2008 y permite a los atacantes robar información que permanece brevemente en la memoria (RAM) después de apagar el equipo.

Sin embargo, para que los ataques de arranque en frío sean menos efectivos, la mayoría de las computadoras modernas vienen con una protección, creada por el Trusted Computing Group (TCG), que sobrescribe el contenido de la memoria RAM cuando se restablece la alimentación del dispositivo, impidiendo que se lean los datos.

Ahora, los investigadores de la empresa finlandesa de ciberseguridad F-Secure descubrieron una nueva forma de desactivar esta medida de seguridad de sobreescritura manipulando físicamente el firmware de la computadora, lo que potencialmente permite a los atacantes recuperar los datos confidenciales almacenados en la computadora después de reiniciar el sistema en frío en cuestión de unos pocos minutos.

“Los ataques de arranque en frío son un método conocido para obtener claves de cifrado de los dispositivos. Pero la realidad es que los atacantes pueden tener en sus manos todo tipo de información utilizando estos ataques. Las contraseñas, las credenciales de las redes corporativas y cualquier dato almacenado en la máquina están en peligro”, advierte la compañía de seguridad en una entrada del blog publicada ayer.

Usando una herramienta sencilla, los investigadores pudieron reescribir el chip de memoria no volátil que contiene la configuración de sobreescritura de memoria, desactivarlo y permitir el arranque desde dispositivos externos. También se puede ver el video de demostración realizando el ataque a continuación en este enlace.

Al igual que el tradicional ataque de arranque en frío, el nuevo ataque también requiere acceso físico al dispositivo de destino, así como las herramientas adecuadas para recuperar los datos restantes en la memoria del equipo.

“No es exactamente fácil de hacer, pero no es un problema lo suficientemente difícil de encontrar y explotar como para que ignoremos la probabilidad de que algunos atacantes ya lo hayan descubierto”, afirma Olle Segerdahl, uno de los dos investigadores de F-Secure y consultor principal de seguridad.

Además, agrego que: “No es exactamente el tipo de cosas que usarán los atacantes que buscan objetivos fáciles. Pero es el tipo de cosas que los atacantes que buscan un phishing más grande, como un banco o una gran compañía, sabrán cómo usarlo”.

Cómo los usuarios de Microsoft Windows y Apple pueden prevenir los ataques de arranque en frío

Según Olle y su colega Pasi Saarinen, su nueva técnica de ataque se cree que es eficaz contra casi todas las computadoras modernas e incluso los Apple Macs y no se puede parchear fácil y rápidamente.

Los dos investigadores, que presentaron sus hallazgos ayer en una conferencia de seguridad, dicen que ya han compartido sus hallazgos con Microsoft, Intel y Apple, y los han ayudado a explorar posibles estrategias de mitigación.

Microsoft actualizó su guía sobre las contramedidas de Bitlocker en respuesta a los hallazgos de F-Secure, mientras que Apple dijo que sus dispositivos Mac equipados con un chip Apple T2 contienen medidas de seguridad diseñadas para proteger a sus usuarios contra este ataque.

Pero para las computadoras Mac sin el último chip T2, Apple recomendó a los usuarios que establecieran una contraseña de firmware para ayudar a reforzar la seguridad de sus computadoras.

Intel aún no ha hecho comentarios al respecto.

El dúo de investigadores dice que no hay una forma fiable de “prevenir o bloquear el ataque de arranque en frío una vez que un atacante con los conocimientos adecuados pone sus manos en un portátil”, pero sugiere que las compañías configuren sus dispositivos de forma que los atacantes que utilicen los ataques de arranque en frío no encuentren nada fructífero que robar.

Mientras tanto, el dúo recomienda a los departamentos de TI que configuren todos los equipos de la compañía para que se apaguen o hibernen (sin entrar en el modo de suspensión) y que exijan a los usuarios que introduzcan su PIN de BitLocker cada vez que enciendan o restauren sus equipos.

Los atacantes aún podrían realizar un ataque de arranque en frío exitoso contra computadoras configuradas de esta manera, pero como las claves de encriptación no se almacenan en la memoria cuando una máquina hiberna o se apaga, no habrá información valiosa que un atacante pueda robar.

Fuente: The Hacker News

Anuncios