29 nov. 2009

Nuevo ataque al Bios hace inservible al antivirus

Una nueva forma de ataque que instala un rootkit directamente en el sistema Bios de la computadora, haría inservible al programa antivirus, advirtieron los investigadores.

Alfredo Ortega y Anibal Sacco de Core Security Technologies explicaron que el ataque es posible contra casi todos los sistemas comunes de Bios en uso actualmente.


Los investigadores  idearon un script Python de 100 líneas que puede ser grabado en la memoria flash del Bios para instalar un rootkit. Debido a que el programa del Bios se activa antes que cualquier otro programa en una computadora cuando esta se incia, los programas normales de anti-virus serían incapaces de detectarlo.

"Probamos el sistema en la mayoría de los tipos comunes de Bios", dijo Ortega. "Existe la posibilidad que los nuevos tipos de Bios de Interface Extensible de Firmware (*EFI BIOS) puedan ser resistentes al ataque, pero se requieren más pruebas."

El ataque solo es posible si el atacante ya tiene control administrativo completo de la PC objetivo, pero esto es posible mediante una infeccion estándar de virus. Una vez conseguido eso, el operador del malware sería capaz de grabar un rootkit directamente en el Bios.

Incluso si el virus inicial fuera detectado y eliminado, la computadora seguiría aun bajo control remoto. Una limpeza complerta del disco duro y resintalacion completa del sistema operativo no lo eliminaría, advirtieron los investigadores.

Si un rootkit sofisticado fuera colocado en el Bios sería aún mas difícil para un administrador poder rastrearlo en el sistema, según Ivan Arce, gerente de Tecnología de Core Security.

"Necesitaría regrabar la memoria flash del Bios con un sistema que uno sepa que no ha sido manipulado", dijo. "Pero si el rootkit es suficientemente sofisticado sería necesario eliminar y reemplazar físicamente el chip de Bios."

El vector de ataque también es utilizable contra sistemas virtuales, dicen lso investigadores. El Bios en VMware está integrado como un módulo en el ejecutable principal de VMware, y por lo tanto podría ser alterado.

Sin embargo, es posible protegerse consta este ataque cerrando el chip del Bios a las actualizaciones, ya sea físicamente o mediante protegiendo por contraseña los cambios no autorizados del sistema.

"El mejor enfoque es impedir que los virus graben en la Bios," dijo Sacco. "Necesita impedir la grabacion de la Bios, incluso si esto significa sacar un jumper en la placa madre."

Traducción: Raúl Batista - Segu-info
Autor: Iain Thomson
Fuente: v3.co.uk

2 comentarios:

  1. Excelente información, la verdad es que cada vez mas se desarrollan nuevas formas de atacar aun sistema, pero yo creo que con las sugerencias que dan es mas que suficiente para evitarlo y de no ser así entonces, a pensar...

    Saludos

    ResponderEliminar
  2. "Los investigadores idearon un script Python de 100 líneas que puede ser grabado en la memoria flash del Bios para instalar un rootkit."

    Me temo que esa afirmación es totalmente incorrecta. Un código en Python no se puede ejecutar desde
    la BIOS. Los programas en Python que han creado los investigadores son auxiliares, para extraer información de la BIOS o redirigir el tráfico del "rootkit legítimo" (CompuTrace). La existencia de ese agente (originalmente para rastrear portátiles robados) es la que permite manipularlo y ser reaprovechado por un atacante.

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!