Durante el último congreso CCC (Chaos Computer Club) donde se reúnen multitud de hackers y expertos en seguridad informática de todo el mundo, unos investigadores del grupo Positive Technologies han mostrado unos documentos que demuestran una serie de vulnerabilidades en las plataformas Intel Skylake y Kaby Lake, un exploit relacionado con la controladora USB 3.0 que podría ser utilizado por alguien malintencionado para atacar, corromper e incluso hacerse con el control del sistema del usuario.
La vulnerabilidad detectada permitiría a un atacante evitar los sistemas de seguridad habituales -tanto a nivel de hardware como de software- utilizando una nueva interfaz de depuración, la cual les permite instalar un malware e incluso modificar el firmware del sistema y la BIOS de la placa base. Éste exploit es actualmente indetectable utilizando las herramientas de seguridad existentes ahora mismo, y de acuerdo al grupo de investigadores el mecanismo puede ser utilizado en un sistema tenga o no sistema operativo instalado (en otras palabras, da igual si tiene Windows, Linux, MS-DOS o ninguno de ellos pues afecta a nivel Firmware).
Tenéis la conferencia entera en el siguiente vídeo (ENLACE por si no podéis verlo directamente aquí).
Por qué solo afecta a sistemas con Intel Skylake o Kaby Lake
Antes de Skylake, la depuración del sistema a bajo nivel solo estaba disponible a través de un dispositivo especial que se conectaba al puerto de debug de las placas base (ITP-XDP). Éste sistema era de difícil acceso por dos motivos: el primero es que el dispositivo necesario es bastante caro, y el segundo que no todo el mundo lleva en el bolsillo un adaptador al conector ITP-XDP para poder utilizarlo, amén de que lógicamente había que hacerlo físicamente.
Esto cambió desde que Intel lanzó Skylake, ya que trajo consigo la introducción de la interfaz DCI (Direct Connect Interface) que si bien es cierto que simplificaba las cosas para tareas de depuración, dado que utiliza una interfaz JTAG a través de un puerto específico USB 3.0 de la placa base ahora es mucho más fácil acceder a éste. Básicamente, Intel hizo su propio exploit cambiando el método de acceso de un puerto especial a un mero USB 3.0 que lógicamente pasa por la controladora y que es más sencillo de hackear y no necesita dispositivos especiales ni interfaces extrañas (hoy por hoy el USB es lo más universal que existe).
Tengo un sistema Skylake / Kaby Lake, ¿puedo hacer algo?
Lamentablemente no, dado que no hay hardware ni software específico para que un atacante se beneficie de éste exploit, simplemente basta con que la interfaz DCI esté habilitada. En muchos sistemas ésta está habilitada por defecto y en otros no. El grupo de investigadores ya ha reportado esta vulnerabilidad a Intel y lo único que los usuarios podemos hacer es estar atentos para cuando la compañía lance un hotfix, que será muy probablemente en forma de actualización de firmware.
Los fabricantes de placas base, por su parte, también pueden hacer algo al respecto: lanzar una actualización de BIOS que deshabilite la interfaz DCI en su placa base, así que también deberíamos estar atentos a esto y actualizar la BIOS de la placa base en cuanto esté disponible la actualización.
Fuente:https://hardzone.es/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad