Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
14/08/2014
Análisis de BadUSB, la nueva amenaza (que no es el apocalipsis)
Tras la presentación de la vulnerabilidad realizada en la conferencia BlackHat USA 2014, se han conocido más detalles acerca de cómo funciona esta vulnerabilidad y, si bien es algo que en teoría supone un riesgo relativamente elevado, no se puede extrapolar a todo lo que tenga un conector USB -al menos no hasta que se hagan muchas más pruebas.
En los días previos a la celebración de BlackHat USA 2014, no pocos medios se hicieron eco con titulares alarmistas de BadUSB, una nueva amenaza que tenia a los dispositivos USB como principales víctimas y vectores de ataque. Antes de la charla que ofrecieron los investigadores Karsten Nohl y Jakob Lell hemos leído casi de todo, como que la vulnerabilidad afectaba a todos los dispositivos USB habidos y por haber o que suponía un apocalipsis informático similar al “efecto 2000”.
Por suerte, estos investigadores han explicado con detalle en su presentación cómo funciona esta vulnerabilidad y, si bien es algo que en teoría supone un riesgo relativamente elevado, no se puede extrapolar a todo lo que tenga un conector USB -al menos no hasta que se hagan muchas más pruebas.
Anatomía de un dispositivo USB
Esta vulnerabilidad utiliza un chip de control que tienen todos los dispositivos USB y que, a su vez contiene un firmware que indica, entre otros datos, de qué tipo de dispositivo se trata. Cuando conectamos un USB a nuestro ordenador se realiza un proceso de inicialización que contiene varios pasos. En estos pasos, el dispositivo se identifica con su clase (una o varias) y se cargan los drivers necesarios para su correcto funcionamiento.
Es importante destacar el concepto de “clase” con la que se identifica un dispositivo. Puede haber dispositivos que contengan varias clases, como por ejemplo una webcam, que sería de la clase cámara y micrófono. También hay que tener en cuenta que un dispositivo USB puede registrarse y “desregistrarse” tantas veces como quiera en un sistema, e incluso cambiar de clase.
Cambiando la funcionalidad
¿Donde está el problema descubierto por estos investigadores? Según ellos, analizando un firmware filtrado de uno de los mayores fabricantes de chips de control para dispositivos USB y aplicándole ingeniería inversa y heurística consiguieron modificar el firmware para añadirle funcionalidades adicionales. Se centraron en pendrives pero la misma metodología sería aplicable, en teoría, a otros dispositivos como discos duros externos, teclados o webcams.
Entre las funcionalidades adicionales que se podrían incorporar encontramos, como no, la de cargar un exploit en el ordenador de la víctima, comprometiendo su seguridad e infectándola. Esto se podría producir en cualquier sistema operativo, si bien con ciertas restricciones en algunos. Por ejemplo, en un sistema GNU/Linux estándar, el malware cargado contaría con permisos limitados y necesitaría hacer una escalada de privilegios a “root” para conseguir propagar esta amenaza a todos los dispositivos USB que estén conectados y sean vulnerables. Algo más difícil pero no inalcanzable.
Modificando el tráfico de red
Otra de las características maliciosas que han destacado los investigadores es la posibilidad de hacer que se realice un ataque desde un pendrive modificado que sea capaz de alterar el tráfico de red sin que el usuario se dé cuenta. Mostraron cómo podría hacerse pasar por un adaptador de red ethernet en el sistema objetivo que responda a peticiones DHCP realizadas desde el sistema pero sin asignar una puerta de enlace.
Esto se traduce en que si estamos conectados a una red Wi-Fi e introducimos un USB modificado en nuestro sistema, seguiremos navegando sin problema; pero las peticiones DNS que realicemos a la hora de acceder a una web, por ejemplo, serán gestionadas por el servidor cargado desde el pendrive, lo que permite ataques de redirección de tráfico que nos pueden llevar a sitios maliciosos que aparentan ser legítimos.
Más detalles sobre el análisis en el artículo original.