WINDOWS 10 EXPUESTO A ATAQUES DMA

Fecha actualización el 2017-2-3. Fecha publicación el . Categoría: Windows. Autor: Mapa del sitio

Windows 10 expuesto a ataques DMA que pueden robar claves BitLocker

La proxima actualización de Windows 10 Insiders incluirá un parche que mejorará la protección contra los ataques DMA que podría permitir a atacantes extraer las claves de cifrado BitLocker y otra información sensible desde Windows 10 y 8.1 PC.

DMA (Direct Memory Access) es un acrónimo usado para describir los puertos de hardware que permiten a los componentes externos se conecten directamente y acceder a la memoria de un ordenador (RAM).

Loas ataques DMA son una combinación de cortes de software y hardware que permiten a un intruso para obtener contenido de la memoria de un ordenador a través de uno de los puertos de DMA de la computadora.

Según el momento de su ataque, los datos de la memoria robados pueden contener información confidencial, como el PIN de BitLocker, claves de cifrado, contraseñas y otros.

Los ataques DMA no son nuevos y han existido desde los años 90, Microsoft introdujo medidas de protección contra este tipo de ataque con el lanzamiento de Windows 8.1 y Windows 10.

Las medidas de protección incluyen ciertas políticas del grupo que hará imposible todos los puertos de DMA durante el inicio, y más tarde se congele todos los puertos de DMA si el usuario bloqueado su PC, pero mantener abiertos los puertos de DMA para la transferencia de datos si estuvieran conectados antes de que el PC estaba cerrada con llave.

De acuerdo con el experto en seguridad Sami Laiho, las medidas de protección Microsoft que introdujo eran innefectivas y no cubren todos los tipos de puertos de DMA.

Esto conduce a situaciones en las que un atacante podría extraer datos de los puertos de acceso directo de memoria incluso si el propietario del equipo ha permitido a la protección del puerto de DMA.

Laiho ha detallado algunos de los problemas de Microsoft con los puertos de DMA y sus protecciones:

  • "DMA-ataques fueron bloqueados durante años con las instrucciones de Microsoft", dijo Laiho. "Ellos han sido y son incorrectos."
  • "En Windows 8.1 Microsoft dijo que tenían una característica que no permitiría DMA-ataques si el ordenador se bloquea. Esto terminó siendo mala información", señaló Laiho.
  • "En Windows 10 Microsoft dijo que [la protección DMA] función estaba ahora activada por defecto. Esta fue la información falsa, así como que está ahí, pero no en forma predeterminada, y [...] que no se aplica a todos los dispositivos , sólo algunos." Laiho también agregó que "esta [característica de protección de DMA] era configurable sólo para las personas que utilizan Microsoft InTune MDM (muy pocos)."

En los últimos años, el investigador ha sido consultado por el equipo de seguridad de Microsoft para ampliar esta protección. La semana pasada, Microsoft finalmente admitió que tenía razón.

La actualización de protección contra ataques procedentes de DMA en unas semanas

"Ello permitiría disponer de una configuración de directiva de grupo en un par de semanas a los Iniciados de Windows [Generar] y más tarde públicamente," segun Laiho dijo a bleepingcomputer. "Esto sigue siendo sólo para proteger contra los buses más modernos, por lo que necesita para utilizar este y mis instrucciones para que sea una combinación segura."

Laiho hizo una demostración de uno de esos ataques a través de un puerto FireWire en la conferencia de Microsoft Ignite en el 2016. Descripción del ataque y de demostración comienzan a partir del minuto 44:55 en el vídeo

windows