Comprometer las máquinas virtuales, es una meta primordial de los cibercriminales. Un grupo de investigadores de Intel Security del equipo Advanced Threat Research demostraron que algunos hipervisores de un servidor o una estación de trabajo son vulnerables a ataques a través del firmware del sistema. Los hipervisores funcionan como la pieza del software que se ejecuta directamente sobre el hardware y controla todas las imágenes virtuales -todo aquello que permite el funcionamiento de una máquina y la comunicación entre otras-. Los ataques detectados guiaron a una instalación exitosa de un rootkit en el firmware del sistema (como un BIOS), quedando vulnerables los accesos del hipervisor, y exponiendo el contenido de memoria del mismo.
Los hipervisores emplean una serie de técnicas para aislar el software y de esta forma proteger los secretos de cada máquina, incluyendo sus sistemas operativos. Sin embargo, esas protecciones quedan limitadas cuando el firmware del sistema de la máquina física está infectado con un rootkit.
En este caso específico de ataque, el rootkit del firmware fue instalado reprogramando el firmware del sistema. Esto se debe a que los sistemas operativos tienden a crear una cuenta de “invitado administrativo”, la cual tiene recursos limitados y puede ser utilizada por el mismo administrador como “puerta trasera” para acceder al sistema. Estas cuentas normalmente se crean con claves por default que son muy sencillas como “password”, “guest” y es usual que los administradores olviden deshabilitarla o hacer claves de acceso más complejas o establecer algún tipo de control sobre esa cuenta.
Estas “puertas traseras” son aprovechadas por los hackers, quienes insistirán en su búsqueda para acceder a un sistema vulnerable y logren el control del mismo.
Soluciones y vulnerabilidades
La solución obvia es aumentar la protección en el firmware. Sin embargo, nuestra investigación también demostró que un atacante puede aprovechar otras vulnerabilidades si el hipervisor permite acceso directo a las interfaces del firmware.
Es por eso que una medida inmediata será deshabilitar las cuentas de “invitados administrativos” que crean los sistemas operativos por default o crear una nueva contraseña más robusta para esta cuenta. Visite https://passwordday.org/es/ donde aprenderá a hacer contraseñas más seguras.
Los ataques maliciosos con privilegios de firmware pueden comprometer todo el sistema de una organización, así que es especialmente importante aplicar medidas para reducir el riesgo a aplicaciones, servicios de software y al sistema operativo. Puede probar el firmware de su sistema con herramientas disponibles como el framework CHIPSEC de código libre, que prueba varias vulnerabilidades conocidas, incluyendo los ataques descritos aquí. Para activar más pruebas de seguridad, pronto lanzaremos nuevas funcionalidades en el framework CHIPSEC para probar como los hipervisores emulan varias interfaces de hardware.
Sobre Intel Security
McAfee es ahora parte de Intel Security. Con su estrategia de seguridad conectada (Security Connected), su enfoque innovador para la seguridad mejorada de hardware y tecnología única de McAfee Global Threat Intelligence, Intel Security está intensamente concentrada en desarrollar soluciones y servicios de seguridad proactivos y probados que protejan sistemas, redes y dispositivos móviles para empresas y para uso personal en todo el mundo. Intel Security está combinando la experiencia y pericia de McAfee con el desempeño innovador y probado de Intel para hacer que la seguridad sea un ingrediente esencial en cada arquitectura y en todas las plataformas informáticas. La misión de Intel Security es dar a todos la confianza necesaria para vivir y trabajarde forma segura en el mundo digital www.intelsecurity.com.
Intel, el logotipo de Intel, McAfee y el logotipo de McAfee son marcas comerciales de Intel Corporation en EE.UU. y/o en otros países.
*Los otros nombres pueden resultar reivindicados como propiedad de terceros.