Pesquisadores de segurança revelaram um novo ataque para roubar senhas, chaves de criptografia e outras informações confidenciais armazenadas na maioria dos computadores modernos, mesmo aqueles com criptografia completa de disco.
O ataque é uma nova variação do tradicional Cold Boot Attack , que ocorre desde 2008 e permite que os invasores roubem informações que permanecem brevemente na memória (RAM) depois que o computador é desligado.
No entanto, para tornar os ataques de inicialização a frio menos eficazes, a maioria dos computadores modernos vem acompanhada de uma proteção criada pelo Trusted Computing Group (TCG), que substitui o conteúdo da RAM quando a energia do dispositivo é restaurada, impedindo que os dados sejam recuperados. sendo lido.
Agora, pesquisadores da firma finlandesa de segurança cibernética F-Secure descobriram uma nova maneira de desabilitar essa medida de segurança manipulando fisicamente o firmware do computador, potencialmente permitindo que invasores recuperem dados confidenciais armazenados no computador após uma reinicialização a frio em questão de poucos. minutos.
"Ataques de inicialização a frio são um método conhecido de obter chaves de criptografia de dispositivos. Mas a realidade é que os invasores podem obter todos os tipos de informações usando esses ataques. Senhas, credenciais para redes corporativas e quaisquer dados armazenados na máquina estão em risco, "a empresa de segurança adverte em um post publicado hoje.
Demonstração em Vídeo do Novo Ataque Cold Boot
Usando uma ferramenta simples, os pesquisadores foram capazes de reescrever o chip de memória não-volátil que contém as configurações de sobregravação de memória, desativá-lo e ativar a inicialização a partir de dispositivos externos. Você também pode assistir a demonstração em vídeo realizando o ataque abaixo.
Como o tradicional ataque de inicialização a frio, o novo ataque também requer acesso físico ao dispositivo de destino, bem como ferramentas corretas para recuperar os dados restantes na memória do computador.
"Não é exatamente fácil de fazer, mas não é difícil encontrar e explorar para nós a possibilidade de que alguns invasores já tenham percebido isso", diz o principal consultor de segurança da F-Secure, Olle Segerdahl, um dos dois pesquisadores. .
"Não é exatamente o tipo de coisa que os atacantes que procuram alvos fáceis usarão. Mas é o tipo de coisa que os atacantes que procuram phishing maiores, como um banco ou uma grande empresa, saberão como usar."
Como o Microsoft Windows e os usuários da Apple podem evitar ataques de inicialização a frio
Os dois pesquisadores, que apresentarão suas descobertas hoje em uma conferência de segurança, dizem que já compartilharam suas descobertas com a Microsoft, Intel e Apple, e ajudaram a explorar possíveis estratégias de mitigação.
A Microsoft atualizou sua orientação sobre as contramedidas do Bitlocker em resposta às descobertas da F-Secure, enquanto a Apple disse que seus dispositivos Mac equipados com um chip da Apple T2 contêm medidas de segurança projetadas para proteger seus usuários contra esse ataque.
Mas para computadores Mac sem o último chip T2, a Apple recomenda que os usuários definam uma senha de firmware para ajudar a proteger a segurança de seus computadores.
A Intel ainda não comentou o assunto.
A dupla diz que não há uma maneira confiável de "impedir ou bloquear o ataque de inicialização a frio quando um invasor com o know-how correto colocar as mãos em um laptop", mas sugerir que as empresas configurem seus dispositivos para que os atacantes ganhem. Não encontre nada frutífero para roubar.
Enquanto isso, a dupla recomenda que os departamentos de TI configurem todos os computadores da empresa para desligar ou hibernar (não entrar no modo de suspensão) e exigir que os usuários insiram o PIN do BitLocker sempre que ligarem ou restaurarem seus PCs.
Os atacantes ainda podem executar um ataque de inicialização a frio bem-sucedido contra computadores configurados como este, mas como as chaves de criptografia não são armazenadas na memória quando uma máquina hiberna ou é desligada, não haverá informações valiosas para um invasor roubar.
FONTE:THEHACKERNEWS
Comentários
Postar um comentário