Consiguen saltarse las medidas para evitar los ataques de arranque en frío en los portátiles

Dos investigadores han descubierto un método que permitiría a los atacantes saltarse las mitigaciones incorporadas en las BIOS de los portátiles para llevar a cabo un ataque de arranque en frío (cold-boot). Básicamente, un atacante con acceso físico a una computadora vulnerable podría comprometerla en caso de estar en modo suspensión, pudiendo hacerse con datos comprometedores como contraseñas y claves de encriptación.

El ataque puede llevarse a cabo en modelos de portátiles que fueron fabricados en la última década, por lo que los sistemas comprometidos son UEFI. A nivel de fabricantes, se pueden encontrar modelos de Apple, Dell y Lenovo, y al parecer el tener el cifrado total de disco habilitado no salva poder ser víctima del ataque, el cual en realidad no resulta fácil de realizar, por lo que a las potenciales víctimas todavía les queda cierto margen, haciendo que los objetivos predilectos sean sobre todo grandes instituciones para así obtener el máximo beneficio.

Los ataques de arranque en frío no son nuevos, ya que son documentados desde hace 10 años por lo menos. Además, también han podido ser llevados a cabo sobre plataformas más cerradas que el PC, como la consola de videojuegos Nintendo Switch. Básicamente, los ataques de arranque en frío consisten en que cuando una plataforma es reiniciada o apagada, hay una pequeña fracción de tiempo en el cual un atacante podría apagar o reiniciar una computadora para volver a encenderla para arrancar un programa que vuelque el contenido de la memoria, entre lo que podría haber claves encriptación y otros datos secretos que acabarían comprometidos.

Tras descubrirse lo explicado en el párrafo anterior, Trusted Computing Group (TCG) publicó rápidamente una corrección que fue implementada en las actualizaciones de las BIOS de muchas computadoras, haciendo que en el proceso de reinicio la BIOS se encargue de sobrescribir la memoria con información sin relación con nada que pueda ser comprometedor. Sin embargo, los investigadores han descubierto una forma de inhabilitar la sobrescritura mediante un ataque basado en hardware que sobrescribe en el chip de memoria que contiene la configuración, haciendo que se pueda realizar un ataque de arranque en frío con un programa específicamente diseñado que esté alojado en una unidad de almacenamiento USB que modifica la configuración del firmware.

En Windows, un actor malicioso podría arrancar el sistema con BitLocker y luego poner la computadora en suspensión, pudiendo después acceder de forma física para establecer el valor de la variable “MemoryOverwriteRequest” a cero en la NVRAM. Tres el reiniciar, se arrancaría desde la unidad externa con el programa específicamente diseñado para escanear la memoria en búsqueda de la clave de BitLocker. Al afectar esto al firmware de la computadora, el ataque es independiente del sistema operativo.

Con los pasos descritos en el párrafo anterior, cualquier dispositivo moderno que utilice BitLocker puede ser desbloqueado mediante la extracción de las claves AES de la RAM, incluso en computadoras configuradas con autenticación previa al arranque en el estado de inicio o bien de suspensión. Esto no solo funciona con BitLocker, sino también con FileVault2 y LUKS, entre otros.

Parece que de momento no hay una solución fácil a este problema, por lo que Microsoft ha actualizado su guía de BitLocker con algunas contramedidas. Por parte de Apple, los Mac con chip Apple T2 incluyen medidas para evitar el ataque, aunque la compañía ha recomendado establecer una contraseña en el acceso del firmware para reforzar la seguridad, sobre todo en los modelos que no incluyen el mencionado chip.

Lo curioso de este ataque es que funciona con el proceso de suspensión y no el de hibernación, ya que este último mueve todo desde la memoria RAM al disco duro cifrado, borrando de forma segura las claves de cifrado de la memoria RAM.

Fuente: ThreatPost