Bogotá, diciembre del 2015 —. Comprometer las máquinas virtuales, es una meta primordial de los cibercriminales. Un grupo de investigadores de Intel Security del equipo Advanced Threat Research demostraron que algunos hipervisores de un servidor o una estación de trabajo son vulnerables a ataques a través del firmware del sistema. Los hipervisores funcionan como la pieza del software que se ejecuta directamente sobre el hardware y controla todas las imágenes virtuales -todo aquello que permite el funcionamiento de una máquina y la comunicación entre otras-. Los ataques detectados guiaron a una instalación exitosa de un rootkit en el firmware del sistema (como un BIOS), quedando vulnerables los accesos del hipervisor, y exponiendo el contenido de memoria del mismo.
Los hipervisores emplean una serie de técnicas para aislar el software y de esta forma proteger los secretos de cada máquina, incluyendo sus sistemas operativos. Sin embargo, esas protecciones quedan limitadas cuando el firmware del sistema de la máquina física está infectado con un rootkit.
En este caso específico de ataque, el rootkit del firmware fue instalado reprogramando el firmware del sistema. Esto se debe a que los sistemas operativos tienden a crear una cuenta de “invitado administrativo”, la cual tiene recursos limitados y puede ser utilizada por el mismo administrador como “puerta trasera” para acceder al sistema. Estas cuentas normalmente se crean con claves por default que son muy sencillas como “password”, “guest” y es usual que los administradores olviden deshabilitarla o hacer claves de acceso más complejas o establecer algún tipo de control sobre esa cuenta.
Estas “puertas traseras” son aprovechadas por los hackers, quienes insistirán en su búsqueda para acceder a un sistema vulnerable y logren el control del mismo.
En el reciente estudio de Intel Security Informe de Predicciones de Amenazas de McAfee Labs, se detalla que los ataques contra todo tipo de hardware y firmware continuarán, y el mercado de herramientas que los hacen posible se expandirá y crecerá.
Es por esto que será muy importante tomar las precauciones necesarias para fortalecer la seguridad de los sistemas de las organizaciones.
Soluciones y vulnerabilidades
La solución obvia es aumentar la protección en el firmware. Sin embargo, nuestra investigación también demostró que un atacante puede aprovechar otras vulnerabilidades si el hipervisor permite acceso directo a las interfaces del firmware.
Es por eso que una medida inmediata será deshabilitar las cuentas de “invitados administrativos” que crean los sistemas operativos por default o crear una nueva contraseña más robusta para esta cuenta. Visite https://passwordday.org/es/ donde aprenderá a hacer contraseñas más seguras.
Los ataques maliciosos con privilegios de firmware pueden comprometer todo el sistema de una organización, así que es especialmente importante aplicar medidas para reducir el riesgo a aplicaciones, servicios de software y al sistema operativo. Puede probar el firmware de su sistema con herramientas disponibles como el framework CHIPSEC de código libre, que prueba varias vulnerabilidades conocidas, incluyendo los ataques descritos aquí. Para activar más pruebas de seguridad, pronto lanzaremos nuevas funcionalidades en el framework CHIPSEC para probar como los hipervisores emulan varias interfaces de hardware.
0 Comentarios
Deje su comentario