La seguridad del módulo de plataforma confiable se derrota en 30 minutos, no se requiere soldadura

La seguridad del módulo de plataforma confiable se derrota en 30 minutos, no se requiere soldadura

imágenes falsas

Supongamos que es una gran empresa que acaba de enviarle a un empleado una computadora portátil de reemplazo nueva. Y digamos que viene preconfigurado para utilizar las mejores prácticas de seguridad más recientes, incluido el cifrado de disco completo mediante un módulo de plataforma confiable, configuraciones de BIOS protegidas por contraseña, UEFI SecureBoot y prácticamente todas las demás recomendaciones del Agencia de Seguridad Nacional y NIST por bloquear los sistemas informáticos federales. Y digamos que un atacante logra interceptar la máquina. ¿Puede el atacante usarlo para hackear su red?

La investigación publicada la semana pasada muestra que la respuesta es un rotundo sí. No solo eso, sino que un hacker que ha hecho sus deberes necesita un período sorprendentemente corto de tiempo a solas con la máquina para llevar a cabo el ataque. Con eso, el pirata informático puede obtener la capacidad de escribir no solo en la computadora portátil robada, sino también en la red fortificada a la que se configuró para conectarse.

Los investigadores de la consultora de seguridad Dolos Group, contratados para probar la seguridad de la red de un cliente, recibieron una nueva computadora Lenovo preconfigurada para usar la pila de seguridad estándar para la organización. No recibieron credenciales de prueba, detalles de configuración u otra información sobre la máquina. Un análisis de la configuración del BIOS, la operación de arranque y el hardware reveló rápidamente que las medidas de seguridad implementadas iban a evitar los hacks habituales, que incluyen:

Fort Knox y el coche no tan blindado

Con poco más para continuar, los investigadores se enfocaron en el módulo de plataforma confiable, o TPM, un chip altamente reforzado instalado en la placa base que se comunica directamente con otro hardware instalado en la máquina. Los investigadores notaron que, como es el valor predeterminado para el cifrado de disco con BitLocker de Microsoft, la computadora portátil se inicia directamente en la pantalla de Windows, sin que se le solicite ingresar un PIN o contraseña. Eso significaba que el TPM era donde se almacenaba el único secreto criptográfico para desbloquear la unidad.

Microsoft recomienda anular el valor predeterminado y usar un PIN o contraseña solo para los modelos de amenazas que anticipan a un atacante con suficiente habilidad y tiempo a solas con una máquina de destino desatendida para abrir la carcasa y soldar los dispositivos de la placa base. Después de completar su análisis, los investigadores dijeron que el consejo de Microsoft es inadecuado porque abre los dispositivos a ataques que pueden ser realizados por cónyuges abusivos, personas internas malintencionadas u otras personas que tienen acceso privado fugaz.

“Un atacante pre-equipado puede realizar toda esta cadena de ataque en menos de 30 minutos sin soldadura, hardware simple y relativamente barato y herramientas disponibles públicamente”, escribieron los investigadores de Dolos Group en un correo, “Un proceso que lo coloca directamente en el territorio de Evil-Maid”.

Los TPM tienen múltiples capas de defensas que evitan que los atacantes extraigan o manipulen los datos que almacenan. Por ejemplo, un análisis hace mas de 10 años El ingeniero inverso Christopher reveló que un chip TPM fabricado por Infineon fue diseñado para autodestruirse en caso de que fuera penetrado físicamente. Los sensores ópticos, por ejemplo, detectan luz ambiental de fuentes luminosas. Y una malla de alambre que cubría el microcontrolador tenía como objetivo desactivar el chip en caso de que alguno de sus circuitos eléctricos se alterara.

Con pocas esperanzas de romper el chip dentro de la computadora portátil Lenovo, los investigadores de Dolos buscaron otras formas en las que podrían extraer la clave que descifraba el disco duro. Notaron que el TPM se comunicaba con la CPU usando Interfaz periférica de serie, un protocolo de comunicaciones para sistemas integrados.

Abreviado como SPI, el firmware no proporciona capacidades de cifrado propias, por lo que cualquier cifrado debe ser manejado por los dispositivos con los que se comunica el TPM. BitLocker de Microsoft, mientras tanto, no utiliza ninguna de las funciones de comunicaciones cifradas del último estándar TPM. Eso significaba que si los investigadores podían aprovechar la conexión entre el TPM y la CPU, podrían extraer la clave.

Ellos escribieron:

Moverse por el TPM de esta manera es similar a ignorar Fort Knox y concentrarse en el automóvil no tan blindado que sale de él.

Para olfatear los datos que se mueven por el bus SPI, debemos conectar cables o sondas a los pines (etiquetados arriba como MOSI, MISO, CS y CLK) en el TPM. Normalmente eso es simple pero hay un problema práctico en este caso. Este TPM tiene una huella VQFN32, que es muy pequeña. Los “pines” tienen en realidad solo 0,25 mm de ancho y están separados por 0,5 mm. Y esos “pines” no son en realidad pines, están planos contra la pared del chip, por lo que es físicamente imposible colocar ningún tipo de clip. Puede soldar “cables de mosca” a las almohadillas de soldadura, pero eso es una molestia y tiende a ser una conexión muy inestable físicamente. Alternativamente, una táctica común es ubicar resistencias en serie para soldar, pero eran igual de pequeñas e incluso más frágiles. Esto no iba a ser facil.

Pero antes de comenzar, pensamos que podría haber otra forma. Muchas veces los chips SPI comparten el mismo “bus” con otros chips SPI. Es una técnica que utilizan los diseñadores de hardware para simplificar las conexiones, ahorrar costos y facilitar la resolución de problemas y la programación. Comenzamos a buscar en toda la placa cualquier otro chip que pudiera estar en el mismo bus que el TPM. Quizás sus pines serían más grandes y más fáciles de usar. Después de sondear y consultar los esquemas, resultó que el TPM compartía un bus SPI con otro chip, el chip CMOS, que definitivamente tenía pines más grandes. De hecho, el chip CMOS tenía casi el tamaño de pin más grande que puede encontrar en las placas base estándar, era un SOP-8 (también conocido como SOIC-8).

Abreviatura de semiconductor complementario de óxido de metal, un chip CMOS en una PC almacena la configuración del BIOS, incluida la fecha y hora del sistema y la configuración del hardware. Los investigadores conectaron un Analizador lógico Saleae al CMOS. En poco tiempo, pudieron extraer cada byte que se movía a través del chip. Luego, los investigadores utilizaron el bitlocker-spi-toolkit escrito por Henri Numi para aislar la clave dentro de la masa de datos.

Con el disco duro descifrado, los investigadores revisaron los datos en busca de algo (contraseñas cifradas o de texto plano, tal vez archivos confidenciales expuestos o cosas similares) que pudiera acercarlos a su objetivo de acceder a la red del cliente. Pronto dieron con algo: Palo Alto Networks ‘ VPN de protección global cliente que venía preinstalado y preconfigurado.

Una característica de la VPN es que puede establecer una conexión VPN antes de que un usuario inicie sesión. La capacidad está diseñada para autenticar un punto final y permitir que los scripts de dominio se ejecuten tan pronto como se encienda la máquina. Esto es útil porque permite a los administradores gestionar grandes flotas de máquinas sin conocer la contraseña de cada una.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.