Ataques de malware con #badUSB ¿lo que viene?
Este año en BlackHat, se destacó una presentación [PDF] debido a su importancia para el futuro dela protección antimalware. Karsten Nohl y Jokob Lell de SRLabs [video] discutieron badUSB, un nuevo tipo de ataque que puede realizarse a través de (algunos) dispositivos USB.
Durante su presentación, los investigadores ilustraron un problema grave en algunos dispositivos USB que ejecutan su propio firmware y cómo ese firmware puede utilizarse de forma dañina. Las principales plataformas como Windows, Mac OS X y Linux son afectadas puesto que estos problemas están en los dispositivos USB, no en las plataformas sobre las que se conectan.
Desde la perspectiva antimalware, surge un problema si el firmware de un periférico USB puede sobrescribirse con un nuevo firmware dañino. Los investigadores mostraron cómo se puede reescribir el firmware con un nuevo código cualquiera sin ningún cambio físico. En esencia, esto significa que un malware puede reescribir el firmware de unidad USB y ser utilizado para infectar los sistemas a los cuales se conecta.
La buena noticia es que aunque el malware puede sobrescribir el firmware de algunos periféricos, el firmware suele ser específico para cada fabricante y modelo.
Los investigadores además propusieron varias maneras en que un firmware dañino podría ser propagado como un gusano:
Según los investigadors, la solución definitiva al problema se encuentra principalmente en los fabricantes de dispositivos, que deberían:
Los empleados deben tener cuidadosos de conectar sus teléfonos a sus sistemas de la empresa (por ej. para cargarlos). Los smartphones con sistemas operativos anticuados pueden ser particularmente susceptibles a una infección vía USB.
Empresas con datos altamente sensibles podrían necesitar evaluar el proceso de actualización del firmware de los dispositivos que están comprando.
La empresa debería comenzar a invertir en protección de periféricos USB y se podría forzar a utilizar sólo ciertos tipos de dispositivos en puertos USB y evitar la reescritura de firmware. Se podría definir qué tipo de dispositivos se permiten en los puertos USB y con esto se mitiga el riesgo.
En conclusión, la seguridad de la empresa alrededor de los dispositivos USB se dirige hacia una reforma de fondo. El proceso puede ser doloroso, pero es necesario.
Geoff McDonald desde Technet
Traducción: Cristian de la Redacción de Segu-Info
Durante su presentación, los investigadores ilustraron un problema grave en algunos dispositivos USB que ejecutan su propio firmware y cómo ese firmware puede utilizarse de forma dañina. Las principales plataformas como Windows, Mac OS X y Linux son afectadas puesto que estos problemas están en los dispositivos USB, no en las plataformas sobre las que se conectan.
Desde la perspectiva antimalware, surge un problema si el firmware de un periférico USB puede sobrescribirse con un nuevo firmware dañino. Los investigadores mostraron cómo se puede reescribir el firmware con un nuevo código cualquiera sin ningún cambio físico. En esencia, esto significa que un malware puede reescribir el firmware de unidad USB y ser utilizado para infectar los sistemas a los cuales se conecta.
La buena noticia es que aunque el malware puede sobrescribir el firmware de algunos periféricos, el firmware suele ser específico para cada fabricante y modelo.
Los investigadores además propusieron varias maneras en que un firmware dañino podría ser propagado como un gusano:
- El periférico USB puede "cambiar" su tipo de dispositivo en cualquier momento para convertirse en un teclado. Esto permitiría que el firmware envíe una serie de pulsaciones específicas de tecla para descargar e instalar un malware en el sistema. Esto podría ser claramente visible para el usuario y requiere que el mismo esté en su PC durante el ataque.
- Durante la operación de booteo, la unidad de almacenamiento USB puede reconocer este proceso y cambiar su tipo a un dispositivo de arranque para apoderarse del sistema. Este proceso es altamente dependiente de la marca y el modelo de la máquina y no parece ser un gran riesgo.
- El contenido del USB puede ser controlado en tiempo de acceso. Por ejemplo, si el dispositivo puede distinguir entre dos tipos de acceso, se podría proporcionar un contenido "bueno" cuando sea analizado por un antivirus, pero proporcionar contenido malicioso cuando el usuario ejecute alguna operación sobre el dispositivo.
- Las conexiones de red podrían ser modificadas mediante técnicas de Man-in-the-Middle fingiendo ser una tarjeta de red conectada por USB y realizar ataques envenenamiento de DHCP y DNS. Esto puede permitir robo de credenciales y de cualquier otro tipo.
Según los investigadors, la solución definitiva al problema se encuentra principalmente en los fabricantes de dispositivos, que deberían:
- Sólo aceptar firmware y actualizaciones firmadas digitalmente.
- No aceptar actualizaciones de firmware que requieran modificación física para cambiarlo.
- No aceptar actualizaciones de firmware en absoluto.
Código publicado
En la conferencia Derbycon en Louisville, Kentucky la semana pasada, los investigadores Adam Caudill y Brandon Wilson demostraron que habían realizado ingeniería inversa sobre el diseño del firmware USB de SR Labs de Nohl, y que pudieron reproducir algunos de los "trucos" de BadUSB. A diferencia de Nohl, el par de hackers publicaron el código en Github, elevando los riesgos para los fabricantes de USB, si no solucionan el problema.Implicancia para usuarios domésticos
No dejar de periféricos USB, todavía. Hasta que comencemos a ver malware activamente utilizando estas técnicas, los usuarios domésticos tienen poco que temer. Esperamos cierta conciencia alrededor de los fabricantes de dispositivos para liberar las actualizaciones de firmware. Algunos periféricos USB pueden tener que ser desechados en el futuro si se convierten en el objetivo y no existe actualización del fabricante.Implicancia para los usuarios empresariales
Si los usuarios de cualquier empresa requieren unidades USB, deberían optar por modelos con firmware no re-grabable o modelos que requieren actualizaciones firmadas.Los empleados deben tener cuidadosos de conectar sus teléfonos a sus sistemas de la empresa (por ej. para cargarlos). Los smartphones con sistemas operativos anticuados pueden ser particularmente susceptibles a una infección vía USB.
Empresas con datos altamente sensibles podrían necesitar evaluar el proceso de actualización del firmware de los dispositivos que están comprando.
La empresa debería comenzar a invertir en protección de periféricos USB y se podría forzar a utilizar sólo ciertos tipos de dispositivos en puertos USB y evitar la reescritura de firmware. Se podría definir qué tipo de dispositivos se permiten en los puertos USB y con esto se mitiga el riesgo.
En conclusión, la seguridad de la empresa alrededor de los dispositivos USB se dirige hacia una reforma de fondo. El proceso puede ser doloroso, pero es necesario.
Geoff McDonald desde Technet
Traducción: Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!