Informática

Maioria dos notebooks está vulnerável a ataques via periféricos

Maioria dos notebooks está vulnerável a ataques via dispositivos periféricos
As portas Thunderbolt são o principal canal de entrada dos ataques agora descobertos. [Imagem: CCO/Divulgação]

Periféricos mal-intencionados

Os notebooks mais modernos e um número crescente de computadores de mesa estão muito mais vulneráveis a invasões por meio de aparelhos acessórios - os chamados periféricos - do que se pensava anteriormente.

Uma pesquisa apresentada nesta quinta-feira no Simpósio de Segurança de Sistemas Distribuídos e de Rede em San Diego (NDSS-2019), nos EUA, mostra que os invasores podem comprometer uma máquina a que tenham acesso em questão de segundos através de dispositivos como carregadores de baterias e estações de acoplamento (docking stations) de discos e memórias.

As vulnerabilidades foram encontradas em computadores com portas Thunderbolt rodando Windows, macOS, Linux e FreeBSD. Muitos notebooks modernos e um número crescente de desktops mostraram-se suscetíveis ao ataque.

Os pesquisadores, da Universidade de Cambridge (Reino Unido) e Rice (EUA), expuseram as vulnerabilidades através do Thunderclap, uma plataforma de código aberto que criaram para estudar a segurança dos periféricos de computador e suas interações com os sistemas operacionais. Ele pode ser plugado aos computadores usando uma porta USB-C que suporte a interface Thunderbolt e permite que os pesquisadores investiguem técnicas disponíveis para os invasores. Eles descobriram que ataques em potencial podem assumir o controle total do computador alvo.

A equipe, liderada pelo professor Theodore Markettos, afirma que, além de dispositivos plug-in, como placas de rede e placas gráficas, os ataques também podem ser executados através de periféricos aparentemente inócuos, como carregadores de bateria e projetores, que recarregam corretamente as baterias e projetam os vídeos, mas simultaneamente comprometem a máquina hospedeira.

Ataques DMA

Os periféricos de computador, como placas de rede e unidades de processamento gráfico, têm acesso direto à memória (DMA), o que permite que eles ignorem as diretivas de segurança do sistema operacional. Os ataques de DMA que abusam desse acesso foram amplamente empregados para controlar e extrair dados confidenciais das máquinas de destino durante os experimentos.

Os sistemas atuais possuem unidades de gerenciamento de entrada/saída de memória (IOMMUs) que podem proteger contra ataques de DMA, restringindo o acesso à memória a periféricos que executem funções legítimas e permitindo apenas o acesso a regiões não sensíveis da memória. No entanto, a proteção IOMMU é frequentemente desativada em muitos sistemas e a nova pesquisa mostra que, mesmo quando a proteção está ativada, ela pode ser comprometida.

"Nós demonstramos que o uso atual do IOMMU não oferece proteção total e que ainda há o potencial de agressores sofisticados causarem sérios danos," disse Brett Gutstein, membro da equipe de pesquisa.

Atualizações de segurança insuficientes

As vulnerabilidades foram descobertas em 2016 e os pesquisadores vêm trabalhando desde então com empresas de tecnologia como Apple, Intel e Microsoft para tratar dos riscos de segurança. As empresas começaram a implementar correções que lidam com algumas das vulnerabilidades que os pesquisadores descobriram - vários fornecedores lançaram atualizações de segurança nos últimos dois anos.

No entanto, a pesquisa mostra que a solução do problema geral permanece elusiva e que desenvolvimentos recentes, como o surgimento de interconexões de hardware como o Thunderbolt 3, que combinam entrada de energia, saída de vídeo e acesso DMA aos dispositivos periféricos na mesma porta, aumentaram muito a ameaça de dispositivos maliciosos, estações de carregamento e projetores, que controlam as máquinas conectadas. Os pesquisadores afirmam querer ver as empresas de tecnologia tomando novas medidas, mas também enfatizam a necessidade de os usuários estarem cientes dos riscos.

"É essencial que os usuários instalem atualizações de segurança fornecidas pela Apple, Microsoft e outras para ficarem protegidos contra as vulnerabilidades específicas que relatamos," disse Markettos. "No entanto, as plataformas permanecem insuficientemente defendidas de dispositivos periféricos maliciosos em relação ao Thunderbolt e os usuários não devem conectar dispositivos dos quais não conhecem a origem ou não confiam."

Bibliografia:

Thunderclap: Exploring Vulnerabilities in Operating System IOMMU Protection via DMA from Untrustworthy Peripherals
A. Theodore Markettos, Colin Rothwell, Brett F. Gutstein, Allison Pearce, Peter G. Neumann, Simon W. Moore, Robert N. M. Watson
Proceedings of the Network and Distributed Systems Security Symposium 2019




Outras notícias sobre:

    Mais Temas