Como viene siendo costumbre, nuestros amigos de Cyberhades han recogido el material de una nueva conferencia de Seguridad y Hacking, en este caso de la SyScan 2014 donde una charla nos llamó poderosamente la atención, titulada "Thunderbolts and Lightning: Very Very Frightening", que se centra en cómo atacar la memoria de sistemas operativos Mac OS X a través de las conexiones FireWire y ThunderBolt. Durante la sesión hacen un recorrido sobre los fallos conocidos de todas las técnicas de explotación de la memoria abusando de los servicios de DMA (Direct Memory Access) que ofrecen las arquitecturas de los equipos hoy en día.
En el caso concreto de FireWire ya había demostraciones que explicaban cómo robar passwords del sistema operativo OS X Lion, pidiendo la lectura de determinadas zonas de memoria para obtener los hashes de las credenciales, tal y como se describe en esta diapositiva de la presentación.
 |
| Figura 1: Ataques por el puerto FireWire para acceder a la memoria |
En la demostración que describen rzn y snare durante su presentación, lo que hacen es saltarse el proceso de validación de un usuario local en la máquina mediante un parcheo de la memoria que obligue al sistema a dar como buen cualquier contraseña. Tiempo atrás ya hicieron una demostración de cómo usar estos ataques para meter un rootkit en memoria por Thunderbolt en un OS X.
 |
| Figura 2: Esquema del acceso a memoria vía Thunderbolt y conexión PCIe |
Para conseguir este objetivo implementan mediante una FPGA con un conector Thunderbolt un esquema que conecta al equipo atacante vía cable serie a la FPGA, que controla la conexión Thunderbolt con la que se conecta al equipo víctima. Desde la FPGA, simulando ser un dispositivo Thunderbolt envía los comandos necesarios para leer y escribir la memoria del sistema y hacer que siempre se de por buena una contraseña.
 |
| Figura 3: El atacante controla la FPGA por un puerto serie, que a su vez lanza conecta |
Esta demostración, como explican ellos no afecta a todas las versiones del sistema operativo ni a todos los equipos, ya que estos riesgos de seguridad en Thunderbolt se conocen bien en la arquitectura Sandy Bridge, pero en los nuevos Mac de 2012 en adelante se implementa la arquitectura Ivy Bridge de Intel que soluciona esos problemas.
 |
| Figura 4: Equipos y versiones vulnerables a este ataque |
Como se puede ver en el gráfico de sistemas afectados por este ataque, las versiones más modernas de OS X Mountain Lion 10.8.2 o las versiones de OS X Mavericks han puesto medidas de mitigación para este fallo, pero si tienes un Mac OS X Leopard o Snow Leopard, estás expuesto.
No hay comentarios:
Publicar un comentario