El firmware presente en la mayoría de equipos los hace vulnerables a ataques Cold Boot

Un equipo de expertos de F-Secure ha descubierto diversos fallos de seguridad que afectan al firmware de ordenadores y equipos modernos, los cuales podrían ser aprovechados por atacantes para realizar ataques Cold Boot. De esta forma podrían obtener datos de su memoria.

El ataque ha sido presentado por Olle Segerdahl y Pasi Saarinen y busca producir cambios físicos en el hardware.

¿Qué es un ataque Cold Boot?

Se trata de un tipo de ciberataque de canal lateral que permite al sujeto con acceso físico al sistema la recuperación de datos confidenciales (llaves de cifrado, contraseñas, etc) de un sistema operativo en ejecución.

El método Cold Boot (arranque frío) provocará un reinicio no controlado de la máquina.

Ataques Cold Boot

Estos ataques son un método conocido para obtener claves de cifrado de los aparatos. Pero la realidad es que los atacantes pueden obtener muchos otros tipos de información mediante estos ataques. 

Es decir, que las contraseñas, credenciales a redes corporativas y cualquier otra información contenida en el equipo estaría en riesgo.

Particularidades del ataque

Este ataque es posible porque los datos permanecen en memoria durante un tiempo variable incluso tras provocarse el reinicio. La permanencia de los datos en memoria podría llegar a varias horas, sobre todo si se conservan en frío las memorias.

Desde F-Secure apuntan a vulnerabilidades de este tipo que afectarían a fabricantes importantes como Lenovo, Dell o Apple.

¿La mala noticia? Este tipo de problema no puede solucionarse con un parche en los equipos afectados. Es imposible. Los atacantes podrían simplemente cambiar la configuración del sistema para que la memoria no se “limpie” tras cada reinicio, configurando el sistema para arrancar desde un dispositivo externo.

Mediante una herramienta sencilla, los autores del artículo vieron una forma de sobreescribir el chip de memoria no volátil que contiene estos parámetros, desactivar la sobreescritura de memoria y habilitar el aranque en un dispositivo externo.

Los expertos demuestran que es posible llevar a cabo el ataque utilizando un dispositivo USB manipulado con el código necesario para volcar la memoria previa al arranque a un archivo.

Multitud de portátiles vulnerables

Aunque dejan claro que no es algo sencillo de realizar, parece ser que sería viable adaptar un ataque de este tipo frente a casi todos los portátiles modernos.

Una posible mitigación consistiría en configurar los dispositivos para apagarse o hibernarse en lugar de entrar en estado de suspensión cuando no están siendo utilizados.

Los usuarios de Windows deberían configurar BitLocker para que solicite el PIN siempre que el equipo se active de nuevo.

Incluso poniendo en marcha estas medidas, un atacante seguiría teniendo la posibilidad de realizar un ataque Cold Boot, pero entonces no podría recuperar las claves de cifrado, dado que estas no permanecen en memoria volátil (RAM) cuando este se hiberna o apaga.

El informe además concluye con esta recomendación:

Una respuesta rápida que invalide las credenciales de acceso haría que los portátiles robados fuesen menos atractivos para los cibecriminales. Los equipos de IT y respuesta ante incidentes deberían practicar este escenario para asegurarse de que los empleados saben notificar inmediatamente cuando un dispositivo es robado o perdido.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.