Logotipo do Site Inovação Tecnológica





Informática

Maioria dos notebooks está vulnerável a ataques via periféricos

Sarah Collins - Univ. Cambridge - 27/02/2019

Maioria dos notebooks está vulnerável a ataques via dispositivos periféricos
As portas Thunderbolt são o principal canal de entrada dos ataques agora descobertos.
[Imagem: CCO/Divulgação]

Periféricos mal-intencionados

Os notebooks mais modernos e um número crescente de computadores de mesa estão muito mais vulneráveis a invasões por meio de aparelhos acessórios - os chamados periféricos - do que se pensava anteriormente.

Uma pesquisa apresentada nesta quinta-feira no Simpósio de Segurança de Sistemas Distribuídos e de Rede em San Diego (NDSS-2019), nos EUA, mostra que os invasores podem comprometer uma máquina a que tenham acesso em questão de segundos através de dispositivos como carregadores de baterias e estações de acoplamento (docking stations) de discos e memórias.

As vulnerabilidades foram encontradas em computadores com portas Thunderbolt rodando Windows, macOS, Linux e FreeBSD. Muitos notebooks modernos e um número crescente de desktops mostraram-se suscetíveis ao ataque.

Os pesquisadores, da Universidade de Cambridge (Reino Unido) e Rice (EUA), expuseram as vulnerabilidades através do Thunderclap, uma plataforma de código aberto que criaram para estudar a segurança dos periféricos de computador e suas interações com os sistemas operacionais. Ele pode ser plugado aos computadores usando uma porta USB-C que suporte a interface Thunderbolt e permite que os pesquisadores investiguem técnicas disponíveis para os invasores. Eles descobriram que ataques em potencial podem assumir o controle total do computador alvo.

A equipe, liderada pelo professor Theodore Markettos, afirma que, além de dispositivos plug-in, como placas de rede e placas gráficas, os ataques também podem ser executados através de periféricos aparentemente inócuos, como carregadores de bateria e projetores, que recarregam corretamente as baterias e projetam os vídeos, mas simultaneamente comprometem a máquina hospedeira.

Ataques DMA

Os periféricos de computador, como placas de rede e unidades de processamento gráfico, têm acesso direto à memória (DMA), o que permite que eles ignorem as diretivas de segurança do sistema operacional. Os ataques de DMA que abusam desse acesso foram amplamente empregados para controlar e extrair dados confidenciais das máquinas de destino durante os experimentos.

Os sistemas atuais possuem unidades de gerenciamento de entrada/saída de memória (IOMMUs) que podem proteger contra ataques de DMA, restringindo o acesso à memória a periféricos que executem funções legítimas e permitindo apenas o acesso a regiões não sensíveis da memória. No entanto, a proteção IOMMU é frequentemente desativada em muitos sistemas e a nova pesquisa mostra que, mesmo quando a proteção está ativada, ela pode ser comprometida.

"Nós demonstramos que o uso atual do IOMMU não oferece proteção total e que ainda há o potencial de agressores sofisticados causarem sérios danos," disse Brett Gutstein, membro da equipe de pesquisa.

Atualizações de segurança insuficientes

As vulnerabilidades foram descobertas em 2016 e os pesquisadores vêm trabalhando desde então com empresas de tecnologia como Apple, Intel e Microsoft para tratar dos riscos de segurança. As empresas começaram a implementar correções que lidam com algumas das vulnerabilidades que os pesquisadores descobriram - vários fornecedores lançaram atualizações de segurança nos últimos dois anos.

No entanto, a pesquisa mostra que a solução do problema geral permanece elusiva e que desenvolvimentos recentes, como o surgimento de interconexões de hardware como o Thunderbolt 3, que combinam entrada de energia, saída de vídeo e acesso DMA aos dispositivos periféricos na mesma porta, aumentaram muito a ameaça de dispositivos maliciosos, estações de carregamento e projetores, que controlam as máquinas conectadas. Os pesquisadores afirmam querer ver as empresas de tecnologia tomando novas medidas, mas também enfatizam a necessidade de os usuários estarem cientes dos riscos.

"É essencial que os usuários instalem atualizações de segurança fornecidas pela Apple, Microsoft e outras para ficarem protegidos contra as vulnerabilidades específicas que relatamos," disse Markettos. "No entanto, as plataformas permanecem insuficientemente defendidas de dispositivos periféricos maliciosos em relação ao Thunderbolt e os usuários não devem conectar dispositivos dos quais não conhecem a origem ou não confiam."

Bibliografia:

Artigo: Thunderclap: Exploring Vulnerabilities in Operating System IOMMU Protection via DMA from Untrustworthy Peripherals
Autores: A. Theodore Markettos, Colin Rothwell, Brett F. Gutstein, Allison Pearce, Peter G. Neumann, Simon W. Moore, Robert N. M. Watson
Revista: Proceedings of the Network and Distributed Systems Security Symposium 2019


Outras notícias sobre:
  • Segurança da Informação
  • Software e Programação
  • Computadores
  • Criptografia

Mais tópicos