La tecnolog铆a Intel Boot Guard est谩 dise帽ada precisamente para excluir tales ataques: en teor铆a, garantiza cargar solo c贸digo confiable en la etapa inicial de inicio de la computadora. Al final result贸 que, cuando la computadora se despierta de la suspensi贸n S3, no todos los dispositivos autentican el contenido de la memoria flash, lo que le permite cambiar el c贸digo. Las consecuencias de un ataque de este tipo pueden ser graves. En particular, es posible descifrar datos en un disco duro si es posible leer las claves almacenadas en la RAM.
Para detectar el ataque, Trammell utiliz贸 su propio desarrollo: un emulador de memoria flash de hardware spispy , que permite tanto rastrear el acceso al chip BIOS como reemplazar el c贸digo de arranque sobre la marcha, en parte o en su totalidad. La vulnerabilidad se califica como un error de tiempo de verificaci贸n / tiempo de uso (TOCTOU): este t茅rmino describe una situaci贸n en la que el c贸digo se valida "en el momento equivocado" y, despu茅s de la verificaci贸n, permanece la posibilidad de sustituci贸n de software.
Hay un indicio en el estudio de que los fabricantes de hardware a menudo rechazan la validaci贸n adicional del c贸digo BIOS (Hudson descubri贸 el problema en dispositivos de cinco proveedores diferentes). Quiz谩s lo hagan debido a los requisitos de Microsoft, que establece serias restricciones sobre el tiempo que aparece el logotipo de Windows despu茅s de despertarse de la suspensi贸n. Si es cierto, la seguridad se ha sacrificado por la comodidad del usuario. El problema se ve agravado por el hecho de que estos par谩metros se establecen en el hardware y no pueden modificarse con el software.
Aunque Hudson no sabe exactamente c贸mo Intel resolvi贸 el problema, lo m谩s probable es que la configuraci贸n del proveedor ahora se ignore parcialmente, y el nuevo firmware del m贸dulo CSME verifica por la fuerza la validez del c贸digo del BIOS al salir del modo de suspensi贸n.
Ataques como el descrito por Hudson, por definici贸n, no pueden ser masivos, pero no ser谩 f谩cil cerrar la vulnerabilidad: tendr谩s que esperar hasta que el parche llegue a dispositivos espec铆ficos a trav茅s del fabricante de la computadora port谩til o la placa base. Por otro lado, puede proteger sus datos valiosos de un ataque de este tipo por su cuenta: simplemente apague su computadora port谩til en situaciones en las que se deje desatendida.
Que mas paso
Los expertos de Kaspersky Lab examinaron en detalle el trabajo de dos troyanos ransomware, Ragnar Locker y Egregor. Estos dos ejemplos muestran c贸mo los ciberdelincuentes no solo extorsionan dinero para descifrarlos, sino que tambi茅n roban los datos de las v铆ctimas y amenazan con publicarlos.
Nvidia ha solucionado otro error importante en su software, esta vez en el software GeForce Now. La vulnerabilidad de ejecuci贸n de c贸digo arbitrario se relaciona con la biblioteca de c贸digo abierto OpenSSL utilizada en el software.
Avast encontr贸 un mont贸n de aplicaciones en Google Play que supuestamente ampl铆an la funcionalidad del juego Minecraft, pero de hecho cobran a las v铆ctimas $ 30 por semana.
El conjunto de parches mensuales de Microsoft ha cerrado al menos un d铆a cero ( escribimos sobre esta vulnerabilidad hace dos semanas), as铆 como una vulnerabilidad grave en el servicio Network File System. Otra vulnerabilidad (CVE-2020-1599) permite que un c贸digo malicioso se adjunte a un archivo ejecutable, mientras se mantiene la validez de la firma digital. Mientras tanto, se parchean dos d铆as cero m谩s en el navegador Google Chrome.
Apple requiere que los proveedores de software proporcionen un manifiesto que detalle c贸mo se manejan los datos del usuario. La propia empresa est谩 siendo criticada (ver el tweet arriba) por la nueva funcionalidad en macOS Big Sur: las aplicaciones del sistema ahora pueden conectarse directamente a los servidores de la empresa, ignorando los firewalls personalizados y los clientes VPN. Primero, esta pr谩ctica puede ser aprovechada por malware. En segundo lugar, este enfoque revela la IP real del usuario, incluso si quiere ocultarla.