3 oct. 2014

Ataques de malware con #badUSB ¿lo que viene?

Este año en BlackHat, se destacó una presentación [PDF] debido a su importancia para el futuro dela protección antimalware. Karsten Nohl y Jokob Lell de SRLabs [video] discutieron badUSB, un nuevo tipo de ataque que puede realizarse a través de (algunos) dispositivos USB.

Durante su presentación, los investigadores ilustraron un problema grave en algunos dispositivos USB que ejecutan su propio firmware y cómo ese firmware puede utilizarse de forma dañina. Las principales plataformas como Windows, Mac OS X y Linux son afectadas puesto que estos problemas están en los dispositivos USB, no en las plataformas sobre las que se conectan.

Desde la perspectiva antimalware, surge un problema si el firmware de un periférico USB puede sobrescribirse con un nuevo firmware dañino. Los investigadores mostraron cómo se puede reescribir el firmware con un nuevo código cualquiera sin ningún cambio físico. En esencia, esto significa que un malware puede reescribir el firmware de unidad USB y ser utilizado para infectar los sistemas a los cuales se conecta.

La buena noticia es que aunque el malware puede sobrescribir el firmware de algunos periféricos, el firmware suele ser específico para cada fabricante y modelo.

Los investigadores además propusieron varias maneras en que un firmware dañino podría ser propagado como un gusano:
  • El periférico USB puede "cambiar" su tipo de dispositivo en cualquier momento para convertirse en un teclado. Esto permitiría que el firmware envíe una serie de pulsaciones específicas de tecla para descargar e instalar un malware en el sistema. Esto podría ser claramente visible para el usuario y requiere que el mismo esté en su PC durante el ataque.
  • Durante la operación de booteo, la unidad de almacenamiento USB puede reconocer este proceso y cambiar su tipo a un dispositivo de arranque para apoderarse del sistema. Este proceso es altamente dependiente de la marca y el modelo de la máquina y no parece ser un gran riesgo.
  • El contenido del USB puede ser controlado en tiempo de acceso. Por ejemplo, si el dispositivo puede distinguir entre dos tipos de acceso, se podría proporcionar un contenido "bueno" cuando sea analizado por un antivirus, pero proporcionar contenido malicioso cuando el usuario ejecute alguna operación sobre el dispositivo.
  • Las conexiones de red podrían ser modificadas mediante técnicas de Man-in-the-Middle fingiendo ser una tarjeta de red conectada por USB y realizar ataques envenenamiento de DHCP y DNS. Esto puede permitir robo de credenciales y de cualquier otro tipo.
Por su diseño, cualquier firmware puede leer el contenido del mismo firmware, lo que significa que el software antimalware sería incapaz de escanear completamente este firmware para verificar posibles infecciones de una unidad USB aunque se podría prevenir y detectar que cualquier programa intente reescribir el firmware o proteger contra cualquier malware que se ejecute en el equipo justo antes o después de la infección del USB.

Según los investigadors, la solución definitiva al problema se encuentra principalmente en los fabricantes de dispositivos, que deberían:
  • Sólo aceptar firmware y actualizaciones firmadas digitalmente.
  • No aceptar actualizaciones de firmware que requieran modificación física para cambiarlo.
  • No aceptar actualizaciones de firmware en absoluto.
Estas defensas en gran medida evitaría la propagación del gusano-como de malware reescritura de firmware a través de periféricos USB.

Código publicado

En la conferencia Derbycon en Louisville, Kentucky la semana pasada, los investigadores Adam Caudill y Brandon Wilson demostraron que habían realizado ingeniería inversa sobre el diseño del firmware USB de SR Labs de Nohl, y que pudieron reproducir algunos de los "trucos" de BadUSB. A diferencia de Nohl, el par de hackers publicaron el código en Github, elevando los riesgos para los fabricantes de USB, si no solucionan el problema.

Implicancia para usuarios domésticos

No dejar de periféricos USB, todavía. Hasta que comencemos a ver malware activamente utilizando estas técnicas, los usuarios domésticos tienen poco que temer. Esperamos cierta conciencia alrededor de los fabricantes de dispositivos para liberar las actualizaciones de firmware. Algunos periféricos USB pueden tener que ser desechados en el futuro si se convierten en el objetivo y no existe actualización del fabricante.

Implicancia para los usuarios empresariales

Si los usuarios de cualquier empresa requieren unidades USB, deberían optar por modelos con firmware no re-grabable o modelos que requieren actualizaciones firmadas.

Los empleados deben tener cuidadosos de conectar sus teléfonos a sus sistemas de la empresa (por ej. para cargarlos). Los smartphones con sistemas operativos anticuados pueden ser particularmente susceptibles a una infección vía USB.

Empresas con datos altamente sensibles podrían necesitar evaluar el proceso de actualización del firmware de los dispositivos que están comprando.

La empresa debería comenzar a invertir en protección de periféricos USB y se podría forzar a utilizar sólo ciertos tipos de dispositivos en puertos USB y evitar la reescritura de firmware. Se podría definir qué tipo de dispositivos se permiten en los puertos USB y con esto se mitiga el riesgo.

En conclusión, la seguridad de la empresa alrededor de los dispositivos USB se dirige hacia una reforma de fondo. El proceso puede ser doloroso, pero es necesario.

Geoff McDonald desde Technet
Traducción: Cristian de la Redacción de Segu-Info

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!