Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
14/08/2014
Anàlisi de BadUSB, la nova amenaça (que no és l'apocalipsi)
Després de la presentació de la vulnerabilitat realitzada en la conferència BlackHat USA 2014, s’han conegut més detalls sobre com funciona esta vulnerabilitat i, si bé és una cosa que en teoria suposa un risc relativament elevat, no es pot extrapolar a tot el que tinga un connector USB -almenys no fins que se'n facen moltes més proves.
En els dies previs a la realització de BlackHat USA 2014, no pocs mitjans es van fer ressò amb titulars alarmistes de BadUSB, una nova amenaça que tenia els dispositius USB com a principals víctimes i vectors d’atac. Abans de la xarrada que van oferir els investigadors Karsten Nohl i Jakob Lell hem llegit quasi de tot, com que la vulnerabilitat afectava tots els dispositius USB haguts i per haver o que suposava un apocalipsi informàtic semblant a l'“efecte 2000”.
Per sort, estos investigadors han explicat amb detall en la seua presentació com funciona esta vulnerabilitat i, si bé, és una cosa que en teoria suposa un risc relativament elevat, no es pot extrapolar a tot el que tinga un connector USB -almenys no fins que se'n facen moltes més proves.
Anatomia d’un dispositiu USB
Esta vulnerabilitat utilitza un xip de control que tenen tots els dispositius USB i que, al seu torn, conté un microprogramari que indica, entre altres dades, de quin tipus de dispositiu es tracta. Quan connectem un USB al nostre ordinador es realitza un procés d’inicialització que conté diversos passos. En estos passos, el dispositiu s’identifica amb la seua classe (una o diverses) i es carreguen els controladors necessaris per al seu funcionament correcte.
És important destacar el concepte de “classe” amb què s’identifica un dispositiu. Pot haver-hi dispositius que continguen unes quantes classes, com per exemple una càmera web, que seria de la classe càmera i micròfon. També cal tindre en compte que un dispositiu USB pot registrar-se i “desregistrar-se” tantes vegades com vullga en un sistema, i inclús canviar de classe.
Canviant la funcionalitat
On està el problema descobert per estos investigadors? Segons ells, analitzant un microprogramari filtrat d’un dels majors fabricants de xips de control per a dispositius USB i aplicant-li enginyeria inversa i heurística van aconseguir modificar el microprogramari per a afegir-li funcionalitats addicionals. Es van centrar en memòries USB, però la mateixa metodologia seria aplicable, en teoria, a altres dispositius com ara discos durs externs, teclats o càmeres web.
Entre les funcionalitats addicionals que es podrien incorporar, trobem, com no, la de carregar un exploit en l’ordinador de la víctima, comprometer la seua seguretat i infectar-la. Això es podria produir en qualsevol sistema operatiu, si bé amb unes certes restriccions en alguns. Per exemple, en un sistema GNU/Linux estàndard, el programari maliciós carregat comptaria amb permisos limitats i necessitaria fer una escalada de privilegis a root per a aconseguir propagar esta amenaça a tots els dispositius USB que hi estiguen connectats i siguen vulnerables. Un poc més difícil ,però no inabastable.
Modificant el tràfic de xarxa
Una altra de les característiques malicioses que han destacat els investigadors és la possibilitat de fer que es realitze un atac des d’un dispositiu de memòria USB modificat que siga capaç d’alterar el tràfic de xarxa sense que l’usuari se n'adone. Van mostrar com podria fer-se passar per un adaptador de xarxa ethernet en el sistema objectiu que responga a peticions DHCP realitzades des del sistema però sense assignar una porta d’enllaç.
Això es traduïx en el fet que si estem connectats a una xarxa Wi-Fi i introduïm un USB modificat en el nostre sistema, continuarem navegant sense problema; però les peticions DNS que realitzem a l’hora d’accedir a una web, per exemple, seran gestionades pel servidor carregat des del dispositiu de memòria USB, la qual cosa permet atacs de redirecció de tràfic que ens poden portar a llocs maliciosos que aparencen ser legítims.
Més detalls sobre l’anàlisi en l’article original.