SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

23 mar 2009

Segu-Info » , , » Investigadores argentinos demuestran ataque a BIOS que sobrevive borrado de disco rígido

Investigadores argentinos demuestran ataque a BIOS que sobrevive borrado de disco rígido

23 mar 2009, 9:57:00 p.m.   Comenta primero!
  , ,  
Un par de investigadores argentinos encontraron la forma de realizar un ataque de malware a nivel de BIOS capaz de sobrevivir al borrado del disco duro.

Los investigadores - Alfredo Ortega y Aníbal Sacco de Core Security Technologies – usaron el escenario en la conferencia de CanSEcWest de la semana pasada para demostrar los métodos (vea el .pdf de la presentación) para infectar el BIOS con código persistente que sobrevivirá reinicios e intentos de regrabar la memoria flash. La técnica incluye emparchar la BIOS con poquito de código que les da control completo de la máquina. La demostración funcionó perfectamente en una máquina corriendo Windows, una PC corriendo OpenBSD y otra corriendo Vmware Player.

Según este el informe de Dennis Fisher:

“Fue muy sencillo. Podemos poner código donde sea que querramos”, dijo Ortega. “No usamos ningun tipo de vulnerabilidad. No estoy seguro si usted comprende el impacto de esto. Podemos reinfectar el BIOS cada vez que se reinicie.”

Sacco y Ortega enfatizaron que para poder ejecutar el ataque, uno necesita o bien privilegios de 'root' o acceso físico a la máquina en cuestión, lo que limita el alcance del ataque. Pero los métodos son mortalmente efectivos y la pareja está trabajando actualmente en un rootkit de BIOS para implementar el ataque.

“Podemos emparchar un 'driver' para plantar un 'rootkit' completamente funcional. Incluso tenemos un pequeño código que puede quitar o deshabilitar el anti-virus,” dijo Ortega.

Rob Lemos de SecurityFocus explica que el método de ataque requiere el uso de una máquina que ya esté comprometida pero la parte espeluznante es que este impide completamente a quien se defiende de eliminar fácilmente un programa del atacante o 'rootkit'.

“Puede eliminar el disco rígido, tirarlo, e incluso reinstalar el sistema operativo,” dijo Sacco. “Eso reinstalará el 'rootkit'”.

Allá por 2006, el investigador de NGSS John Heasman encontró la forma de usar un dispositivo PCI para plantar un rootkit ofensivo en maquinas Windows. Aquí hay un enlace al trabajo de Heasman: Implementing and Detecting a PCI Rootkit (.pdf).


Traducido para blog Segu-info por Raúl Batista
Autor: Ryan Naraine
Fuente: BlogsZdnet



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!