Placa Madre, Electrónica, Equipo, Bordo
Investigadores de Positive Technologies han puesto de manifiesto que algunos de los nuevos procesadores Intel contienen una interfaz de depuración, accesible a través de puertos USB 3.0, que se puede utilizar para obtener el control total de un sistema y llevar a cabo ataques que no son detectables por las herramientas de seguridad actuales.
Un atacante podría usar esto para evitar todos los sistemas de seguridad y realizar la incrustación de código a través de un cierto período de tiempo, la lectura de todos los datos posibles e incluso hacer que la máquina quede fuera de servicio, por ejemplo, por la re-escritura de su BIOS.
Una charla sobre los mecanismos necesarios para este tipo de ataques, y maneras de protegerse contra ellos, fue dada por Maxim Goryachy y Mark Ermolov en la 33ª Chaos Communication Congress en Hamburgo, Alemania.
El dúo señaló: "Estos mecanismos de hardware creados por el fabricante tienen propósitos legítimos, tales como las características especiales de depuración para la configuración de hardware y otros usos beneficiosos. Pero ahora estos mecanismos están disponibles para los atacantes también. La realización de este tipo de ataques no requiere equipos especiales ".
El dúo analizó y demostró uno de estos mecanismos en su presentación. La interfaz de depuración JTAG (Joint Group Test Acción), ahora accesible a través de USB, tiene el potencial de permitir ataques peligrosos y prácticamente indetectables. JTAG funciona por debajo de la capa de software con el propósito de la depuración de hardware del sistema operativo en su kernel, hipervisores y conductores. Al mismo tiempo, sin embargo, este acceso de la CPU puede ser objeto de abuso con fines maliciosos.
En los más antiguos equipos de CPU Intel, acceder JTAG requiere la conexión de un dispositivo especial para la depuración de un puerto en la placa base (ITP-XDP). JTAG era de difícil acceso para los solucionadores de problemas y posibles atacantes.
Sin embargo, a partir de la familia de procesadores Skylake en 2015, Intel introdujo el Interfaz de Conexión Directa (DCI) que proporciona acceso a la interfaz JTAG de depuración a través de puertos USB 3.0 comunes.
Memoria Flash, Pendrive
En muchos ordenadores, ICD está activado y no bloqueado por defecto.
SC Media UK habló con Maxim Goryachy, y preguntó cómo alguien puede engañar a otro para que permita el acceso a la interfaz de ICD?
Goryachy dijo: "Hay varias maneras de que alguien pudiera hacer esto. Un atacante podría cambiar la configuración BIOS (por ejemplo, con un uso de un Programador Flash) cuando tienen acceso físico a los equipos durante la fabricación, almacenamiento o uso. Algunas BIOS no bloquean la configuración DCI por lo que existe la posibilidad de encender el ICD ".
Goryachy y Ermolov especularon que este mecanismo en las CPU Intel podría conducir a una nueva clase de ataques Bad USB similar, pero a un nivel más profundo e incluso más peligroso que su predecesor.
En sus observaciones finales, los investigadores propusieron una serie de medidas de protección basadas ​​en el uso de la función BootGuard de Intel y prohibiendo la activación de la interfaz de depuración.
SC preguntó Goryachy si podría comparar esta vulnerabilidad a Stuxnet, a lo que dijo: "Este mecanismo puede ser utilizado en un sistema violado independientemente del sistema operativo instalado. Stuxnet estaba infectando sólo las máquinas de Windows, mientras que el ICD se puede utilizar en cualquier sistema con el procesador de la serie U Intel. Esta serie se utiliza en las computadoras portátiles.".
Goryachy dijo SC, "Hemos informado de este caso a Intel. A la fecha, este mecanismo sólo puede explotarse en procesadores Intel serie U ".