Investigadores de seguridad han descubierto una nueva clase de vulnerabilidades de seguridad, que afecta a todos los sistemas operativos populares, incluidos Windows, macOS, Linux y FreeBSD, lo que permite a los atacantes eludir los mecanismos de protección introducidos para defenderse de los ataques DMA.
Conocidos desde hace años, los ataques basados en el acceso directo a la memoria (DMA), permiten que un atacante ponga en peligro una computadora específica en cuestión de segundos, al conectar algún dispositivo con fines maliciosos, como una tarjeta de red externa, mouse, teclado, impresora, almacenamiento, tarjeta gráfica en un puerto Thunderbolt 3 o USB-C, puertos presentes generalmente en equipos de alta gama.
Los ataques basados en DMA son posibles porque el puerto Thunderbolt permite que los periféricos conectados eviten las políticas de seguridad del sistema operativo y la memoria del sistema de lectura/escritura directa que contiene información confidencial, incluidas las contraseñas, los inicios de sesión bancarios, los archivos privados y la actividad del navegador. Eso significa que, simplemente conectando un dispositivo infectado, creado con herramientas como Interception, puede manipular el contenido de la memoria y ejecutar código arbitrario con privilegios mucho más altos que los periféricos de bus serie universal, permitiendo a los atacantes eludir la pantalla de bloqueo o controlar las PC de forma remota.
Para bloquear los ataques basados en DMA, la mayoría de los sistemas operativos y dispositivos aprovechan la técnica de protección de la Unidad de Administración de Memoria de Entrada/Salida (IOMMU), para controlar qué dispositivo periférico (generalmente legítimo) puede acceder a la memoria y a qué región de la memoria.
El conjunto de nuevas vulnerabilidades en varios sistemas operativos podrían permitir a los atacantes eludir la protección de IOMMU, al imitar la funcionalidad de un dispositivo periférico legítimo, un atacante puede engañar a los sistemas operativos para que le den acceso a regiones sensibles de la memoria. Dado que IOMMU no se habilita de forma predeterminada en la mayoría de los sistemas operativos y que los dispositivos modernos cuentan con USB-C, la superficie de ataque del ataque DMA ha aumentado significativamente, lo que anteriormente se limitaba principalmente a los dispositivos Apple con puertos Thunderbolt 3.
REFERENCIA
COMENTARIOS