martes, 23 de enero de 2018

Nunca dejes tu laptop solo


Para nosotros los latinoamericanos este parece un consejo de sobra, o eso creemos, porque los amigos de lo ajeno siempre están atentos para tomar ventaja de cualquier descuido. Sin embargo, aquellos familiarizados con técnicas de ingeniería social saben muy bien que puedes tener tu laptop a tu lado y aun así ser víctimas de otros ataques.

La compañía F-Secure anunció que descubrió una vulnerabilidad en el sistema de administración remota de Intel AMT (por sus siglas en inglés Active Management Technology) que permitiría burlar las claves de acceso al BIOS de un laptop e instalar un backdoor. Los procesadores con Intel V-Pro y algunos Xeon parecen ser los más susceptibles a esta vulnerabilidad.

De acuerdo a F-Secure, esta vulnerabilidad no está relacionada con Meltdown/Spectre. Aunque la vulnerabilidad requiere acceso físico al laptop, la rapidez con que se puede realizar el ataque es preocupante. Un ataque de ingeniería social puede distraer a la víctima momentáneamente mientras un segundo sujeto compromete al equipo. Ejemplos donde esta situación puede suceder incluye los vuelos (¿Quién se roba un laptop en un avión?), conferencias o cualquier Starbucks.

Mientras que una clave en el BIOS de un equipo usualmente previene acceso a su configuración, la clave no previene acceso desautorizado a la configuración de AMT lo que permite al atacante reconfigurar AMT y habilitar explotación remota si la clave no ha sido cambiada (Usualmente los departamentos de sistemas solo cambian la clave de BIOS no la de AMT). Una vez existe acceso a AMT, el atacante puede configurar el laptop para permitir acceso remoto sin el conocimiento de su legítimo dueño. Una condición necesaria para que el acceso remoto funcione es que la víctima y el atacante tienen que estar en la misma red, situación muy frecuente en estos días.

Muchas compañías tienen sus laptops con disco duros encriptados, pero esa defensa no es útil en esta situación porque AMT actúa al nivel del BIOS. Una vez el usuario autorizado se conecta al equipo, el atacante puede observar toda la actividad que realiza el usuario con total desconocimiento del mismo. AMT realiza todas sus comunicaciones vía SSL, y esto previene que los equipos de respuesta a incidentes (SIRT) puedan detectar anomalías en el tráfico.

Al parecer existe un paliativo y es que algunas organizaciones han deshabilitado el servicio Windows LMS por causa de la vulnerabilidad CVE-2017-5698. Aunque AMT necesita de este servicio para la administración remota, no es claro si es posible tomar ventaja de la vulnerabilidad o no sin el servicio.  

¿Qué hacer? Las organizaciones deben evaluar la susceptibilidad de sus laptops a esta vulnerabilidad (hacer un análisis de riesgo ¿recuerdan?) y actuar de acuerdo a las recomendaciones de la evaluación. Realizar cambios en configuraciones del BIOS puede ser una pesadilla logística y tomará un buen tiempo actualizar todos los equipos con configuraciones seguras de AMT (o deshabilitar totalmente la función).

Mientras tanto no dejes tu laptop solo.