Malware que sobrevive a formateos, vive en la BIOS
por : Jesús Maturana: 24 Mar 2009, 8:57
Un par de investigadores argentinos, Alfredo Ortega y Anibal Sacco, han encontrado una manera de realizar un ataque malware a nivel BIOS que puede sobrevivir al formateo del disco duro de un ordenador.
Ortega y Sacco forman parte de Core Security Technologies y participaron en la pasada conferencia CanSecWest demostrando métodos (ver PDF en vINQulos) con los que infectar la BIOS de un ordenador con código persistente que sobrevive tanto a formateo del ordenador com oa intentos de re-flaseo de la BIOS.
La técnica en cuestión incluye el parcheo de la BIOS con una pequeño código que otorga el completo control de la máquina. La demostración funcionó de forma correcta en una máquina Windows, en otra con OpenBSD y otra corriendo VMware Player.
En palabras de Alfredo Ortega: “fue muy fácil. Podemos poner el código donde queramos [...] No estamos usando una vulnerabilidad de ningún tipo. No estoy seguro de si entendéis el impacto de ello. Podemos reinfectar la BIOS cada vez que se reinicia“.
vINQulos
PDF demostrativo
vía
Comentarios
Listo, ya tiene Intel la escusa perfecta para jubilar la BIOS y recuperar el rendimiento perdido por la retrocompatibilidad.
Por si nadie lo sabe, los equipos de IBM rendian mas que el resto porque su BIOS no emulaba la de nadie, mientras que el resto de equipos tenian que conseguir que la suya se comportase como una IBM.
Que graciosos, que gran investigación, gracias además por demostrar lo fácil que se hace, que gran trabajo el de estos dos. El nobel de ciencia que no sea para laboratorios que utilizan la tecnología para curarnos o aumentar nuestros conocimientos, para ellos.
#Cagüentó
No hay nada malo en demostrar que un sistema es inseguro y vulnerable. Es mucho mejor hacerlo y mostrarlo con fines constructivos que descubrirlo y explotarlo mediante malware con fines destructivos. Si no lo descubren los buenos lo descubren los malos al final, y entonces sí que hay que lamentarse.
[...] Malware que sobrevive a formateos, vive en la BIOSwww.theinquirer.es/2009/03/24/malware-que-sobrevive-a-format… por the_blade hace pocos segundos [...]
Bueno pues ahora podian dar la parte B; es decir invertar como evitar el ataque.
Pues si esto es cierto, mejor que las marcas se pongan manos a la obra lo mas rapido posible con tal de poner remedio a dicho problema.
Bueno, no creo que desde un entorno de usuario normal sea posible parchear una BIOS, el SO debe imponer algunos límites.
Otra cosa es el feliz usuario que lo hace todo como administrador.
[...] Fuente | Theinquirer [...]
Parchear una BIOS desde windows esta tirado pero para que el codigo modificado cargue hara falta un reinicio.
Ademas las BIOS deberian llevar una firma digital que asegura la procedencia del flasheo antes de iniciarlo, alguna lo hacen.
Aun asi es una tecnologia obsoleta que tiene los dias contados y es un autentico problema en entornos de 64bits
nadie cuida la bios desde el Cherbobyl. No creo que EFI sea la respuesta para este tipo de ataque pues pronto aparecerán Antivirus para la BIOS(como si bastara para los de el SO), basta hacer de solo lectura la BIOS(ojo, que este solo lectura sea real).
Actualmente existen otras amenazas que toman ventajas de las ultimas tecnologias, y EFI será una de ellas, aunque la puerta de entrada siempre será el SO.
Solo quiero comentar que los chips de memoria flash de los BIOS (todos) tienen un pin que se llama WR, hace mucho tiempo las placas madres traían un jumper en ese pin que se llamaba Write Enable, por extrañas razones todos los fabricantes dejaron de ponerselo. La solución es fácil, cuter en mano y a cortar esa línea a tiempo antes de que lo tengan que lamentar. A los fabricantes les combiene no poner el jumper, así es más fácil el reflasheo, el espionaje, y la destrucción a control remoto de las placas madres mas viejas, por eso de mantener el mercado, vió?
Me corrijo, no es WR, es WE (Write Enable) y es activo a nivel bajo, o sea para escribir en el chip el CPU pone este pin a nivel bajo (0 voltios o conectado a negativo o masa) para leer debe estar siempre en nivel alto (VCC del chip), ahora en la mayoría de los chips con encapsulado PLCC de 32 pines, el pin WE es el número 31 y el pin VCC es el pin 32, o sea que solo hay que cortar la línea que llega al pin 31 y unir el pin 31 con el 32 con una pequeña gota de estaño, esto es seguramente lo que hacía el famoso jumper Flash Write Enable de 3 pines en su momento.
Para mas informacion vean que chip flash tienen en su placa madre y bajense las hojas de datos en pdf de alldatasheet y hagan como corresponda…si se animan claro. :)
Para los usuarios de GNU/linux que ya usen una distro con HAL, estos son los comandos para conocer que modelo de placa madre y versión de firmware de BIOS tienen actualmente.
$ lshal –show computer |grep system.board
$ lshal –show computer |grep system.firmware
[...] los formateos (pa aquellos que tambièn pensaron que asi se librarìan). Informaciòn en español: http://www.theinquirer.es/2009/03/24/malware-que-sobrevive-a-formateos.html sin comentarios en: tecnología, seguridad alcoholímetro: 10 etiquetas: malware, bios, [...]
perdonad mi ignorancia, pero si se aloja un virus en la bios, con reflashear la bios se debería solucionar ¿no? vamos como si reformatearas pero con la bios en vez del disco duro, le pones una bios antigua y se debería solucionar el problema.
aunque dice que sobrevive a reflasheos de la bios, yo creo que a base de insistir acabaría cediendo el virus de marras, de todas formas ya sacarán algo para evitar este tema.
@dorian: Si, por suepuesto que si logras reflashear el bios se soluciona el problema, pero es mejor hacer un backup del BIOS que trajo originalmente la placa madre o del que estés usando, para tener a mano para volver a poner la misma versión que tenías, en eso estoy ahora. Pero no creo el BIOS infectado te deje hacerlo desde un diskette o CD, sin con un programador de BIOS externo.
Lo mejor es como dije en los mensajes anteriores, cortar el pin WE y unirlo a VCC, así estarás seguro que ni tu ni nadie va a poder cambiar un bit en el BIOS.
si, ojala y pongan un seguro fisico contra la escritura en el bios (como en los disketes), y cuando haya que modificarlo se cambie y que comienze con el seguro puesto por de fabrica. (creo que es lo que estaba diciendo anonimo?)
@urlha!: No esperes a que los fabricantes de placas madres vuelvan a poner el jumper de protección de escritura del BIOS como lo hacían hace muchos años, es que no les conviene, por eso mismo se lo quitaron, con los datos que pase y un poco de empeño, es el mismo dueño de la pc quien puede agregar ese jumper por si mismo y estar a salvo de la maldad de los fabricantes de hardware y del software cerrado.
[...] Fuente. [...]
[...] Investigadores argentinos logran atacar la BIOS de una PC con Malwarewww.theinquirer.es/2009/03/24/malware-que-sobrevive-a-format… por bachi.bazofia hace pocos segundos [...]
coñazo!!!
empiezo a tener miedo
O.O
[...] Es un artículo de Jesús Maturana para TheInquirer. [...]
Por cierto, porque las empresas que fabrican memorias USB no les ponen un SWITCH DE PROTECCION CONTRA ESCRITURA YA, para evitar que se introduzcan virus, porque da miedo pinchar el pen drive en un ordenador que no es el tuyo
Yo uso como memoria USB un adaptador de tarjetas SD, que tienen una palanquita para deshabilitar la escritura.
Es obvio, la solución es otro producto a vender… suponiendo que lo vendan está limpio… uff que complique
Realmente nada nuevo, los antiguos y casi extintos virus de bot, también pueden hacer lo mismo y la única solución es cambiar la placa para quitar el virus del arranque.
Una vez infectada, así se queda.
[...] Fuente: Theinquirer.es [...]
[...] : http://www.theinquirer.es/2009/03/24/malware-que-sobrevive-a-formateos.html View this Post in: Comparte y [...]
Publica un nuevo comentario