Comprometer las máquinas virtuales, es una meta primordial de los cibercriminales. Un grupo de investigadores de Intel Security del equipo Advanced Threat Research demostraron que algunos hipervisores de un servidor o una estación de trabajo son vulnerables a ataques a través del firmware del sistema.
Los hipervisores funcionan como la pieza del software que se ejecuta directamente sobre el hardware y controla todas las imágenes virtuales -todo aquello que permite el funcionamiento de una máquina y la comunicación entre otras-. Los ataques detectados guiaron a una instalación de un rootkit en el firmware del sistema (como un BIOS), quedando vulnerables los accesos del hipervisor, y exponiendo el contenido de memoria del mismo, explicó la compañía.
Agregó que los hipervisores emplean una serie de técnicas para aislar el software y de esta forma proteger los secretos de cada máquina, incluyendo sus sistemas operativos. Sin embargo, esas protecciones quedan limitadas cuando el firmware del sistema de la máquina física está infectado con un rootkit.
En este caso de ataque, señaló la firma en seguridad, el rootkit del firmware fue instalado reprogramando el firmware del sistema. Esto se debe a que los sistemas operativos tienden a crear una cuenta de “invitado administrativo”, la cual tiene recursos limitados y puede ser utilizada por el mismo administrador como “puerta trasera” para acceder al sistema. Estas cuentas normalmente se crean con claves por default que son muy sencillas como “password”, “guest” y es usual que los administradores olviden deshabilitarla o hacer claves de acceso más complejas o establecer algún tipo de control sobre esa cuenta.
Estas “puertas traseras” son aprovechadas por los hackers, quienes insistirán en su búsqueda para acceder a un sistema vulnerable y logren el control del mismo. En el estudio de Intel Security Informe de Predicciones de Amenazas de McAfee Labs, se detalla que los ataques contra todo tipo de hardware y firmware continuarán, y el mercado de herramientas que los hacen posible se expandirá y crecerá.
Es por esto que será importante tomar las precauciones para fortalecer la seguridad de los sistemas de las organizaciones, advirtió el laboratorio.
Soluciones y vulnerabilidades
De acuerdo a Intel Security, la solución obvia es aumentar la protección en el firmware. Sin embargo, la investigación demostró que un atacante puede aprovechar otras vulnerabilidades si el hipervisor permite acceso directo a las interfaces del firmware.
Por ello aconsejó como una medida inmediata deshabilitar las cuentas de “invitados administrativos”, que crean los sistemas operativos por default o crear una nueva contraseña más robusta para esta cuenta.
Los ataques maliciosos con privilegios de firmware pueden comprometer todo el sistema de una organización, así que es especialmente importante aplicar medidas para reducir el riesgo a aplicaciones, servicios de software y al sistema operativo. En este sentido se recomendó probar el firmware del sistema con herramientas disponibles como el framework Chipsec de código libre, que prueba varias vulnerabilidades conocidas, incluyendo los ataques descritos aquí.
Finalmente la compañía adelantó que para activar más pruebas de seguridad, pronto lanzará nuevas funcionalidades en el framework Chipsec para probar como los hipervisores emulan varias interfaces de hardware.
