it-swarm-es.com

¿Puede un virus destruir el BIOS de una computadora moderna?

A fines de la década de 1990, un virus informático conocido como CIH comenzó a infectar algunas computadoras. Su carga útil, cuando se activa, sobrescribe la información del sistema y destruye el BIOS de la computadora, esencialmente bloqueando cualquier computadora que haya infectado. ¿Podría un virus que afecta a los sistemas operativos modernos (como Windows 10) destruir el BIOS de una computadora moderna y esencialmente bloquearlo de la misma manera, o ahora es imposible que un virus tenga acceso al BIOS de una computadora moderna?

95
user73910

Las computadoras modernas no tienen un BIOS, tienen un UEFI . La actualización del firmware UEFI desde el sistema operativo en ejecución es un procedimiento estándar, por lo que cualquier malware que logre ejecutarse en el sistema operativo con suficientes privilegios podría intentar hacer lo mismo. Sin embargo, la mayoría de las UEFI no aceptarán una actualización que no esté firmada digitalmente por el fabricante. Eso significa que no debería ser posible sobrescribirlo con código arbitrario.

Esto, sin embargo, supone que:

  1. los fabricantes de placas base logran mantener en secreto sus claves privadas
  2. el UEFI no tiene vulnerabilidades de seguridad no intencionadas que permitan sobrescribirlo con código arbitrario o de otra manera pueden ser explotadas para causar daños.

Y esos dos supuestos no necesariamente son válidos.

Con respecto a las claves filtradas: si una clave de firma UEFI fuera conocida por el público en general, entonces puede suponerse que habría una gran cantidad de informes de los medios y parches histéricos. Si sigues algunas noticias de TI, es probable que veas a muchos alarmistas "Si tienes una placa base [de la marca] ¡ACTUALIZA TU UEFI AHORA! 1111oneone" titulares. Pero otra posibilidad es firmar claves secretamente filtradas a actores estatales. Entonces, si su trabajo puede ser interesante para el espionaje industrial, entonces esto también podría ser una amenaza creíble para usted.

Con respecto a los errores: los UEFI obtienen cada vez más funcionalidades que tienen cada vez más posibilidades de errores ocultos. También carecen de la mayoría de las funciones de seguridad interna que tiene después de haber arrancado un sistema operativo "real".

120
Philipp

Sí, definitivamente es posible.

Hoy en día, con UEFI extendiéndose, es aún más preocupante: UEFI tiene una superficie de ataque mucho más grande que el BIOS tradicional y una falla (potencial) en UEFI podría ser apalancada para obtener acceso a la máquina sin tener ningún tipo de acceso físico (- como lo demostró la gente de Eclypsium con sombrero negro el año pasado ).

46
Stephane

En términos prácticos, un virus es software, por lo que puede hacer cualquier cosa que cualquier otro software pueda hacer.

Entonces, la forma simple de responder a esta pregunta, y todas las demás de la clase "¿Pueden los virus hacer X?" es preguntar "¿El software actualmente hace X?"

Estas preguntas podrían incluir "¿puede un virus pasear a mi perro?" (no sin un robot para pasear perros); "¿Puede un virus conseguirme pizza?" (sí: lamentablemente, este no es el foco principal de la mayoría de los autores de virus).

¿Las BIOS (UEFI) se actualizan actualmente mediante software? La respuesta es sí, lo son. El mío se actualizó anoche, cuando reinicié.

Y entonces la respuesta es sí.

Por la misma lógica, los virus también pueden causar (e históricamente han causado) daños físicos a su CPU, discos duros e impresoras.

Los sistemas de automatización del hogar y los vehículos sin conductor también son posibles objetivos de daños físicos, pero no conozco ningún virus que lo haya hecho.

20
Dewi Morgan

Sí, definitivamente es posible.

Aquí hay un ejemplo de una actualización de SO de malware firmada fraudulentamente con la clave privada del fabricante: https://www.theregister.co.uk/2019/03/25/asus_software_update_utility_backdoor/

Según Kaspersky Labs, alrededor de un millón de computadoras portátiles Asus fueron infectadas por Shadowhammer, con una actualización que parecía estar firmada correctamente. No está claro si eso alteró el firmware, pero ciertamente podría haberlo hecho.

12
emrys57

Su pregunta sugiere un tema más profundo que son los anillos y los permisos de código en un sistema operativo. En MS DOS, el código podría hacer lo que quiera. Si el código quería escribir todos los 0x00 en un disco duro, podría enviar una salida extraña a una pieza de hardware, también podría haber nada que detuviera el código del usuario. En un sistema operativo moderno existe un concepto de anillos (la CPU lo aplica). El núcleo se ejecuta en anillo cero y podría hacer lo que quiera. El código del usuario por otro lado no puede. Se ejecuta en algo llamado anillo 3 y se le da su propia pequeña memoria y dentro de esa memoria puede hacer lo que quiera, pero no puede hablar directamente con el hardware. Si el código del usuario intenta comunicarse con el hardware, el núcleo mata inmediatamente el programa. Esto significa que es muy poco probable que un virus normal pueda matar el hardware porque no puede hablar con él directamente.

Si el kernel es pirateado, entonces el juego básicamente ha terminado. El kernel puede hacer lo que quiera y puede ocurrir una gran cantidad de cosas malas, como overclocking de la CPU hasta un punto donde el hardware es inestable, limpiando los discos duros (llenando los ceros, por ejemplo), o prácticamente cualquier otro ataque plausible .

4
scifi6546

Potencialmente. Sin embargo, sería difícil de hacer, ya que probablemente tendría que enmascararse como una actualización de BIOS legítima en algún momento. El método para hacerlo cambiará dependiendo de tu mobo, pero es probable que tenga que implicar la filtración de claves privadas o de hardware u otros secretos.

3
520

Si. Es específico del hardware, pero aquí hay un caso de un usuario que rompe accidentalmente el firmware de su placa base desde el nivel del sistema operativo https://github.com/systemd/systemd/issues/2402

Un error en el firmware de una computadora portátil MSI significaba que borrar las variables efi causaba que la computadora portátil fuera inutilizable. Debido a que estas variables se expusieron al sistema operativo y se montaron como un archivo, la eliminación de cada archivo del nivel del sistema operativo causó el problema que podría ser explotado por un virus para apuntar específicamente a estas variables.

3
Qwertie

Hay muchas formas, y algunas de ellas son inquietantes. Por ejemplo, Computrace parece ser una puerta trasera permanente que puede omitir no solo el sistema operativo sino incluso el BIOS. Y más generalmente, el Intel Management Engine tiene control total sobre su computadora y puede ser explotado de manera plausible. Estos pueden modificar su BIOS pero ni siquiera necesitan hacerlo. Solo en 2017, los investigadores de seguridad descubrieron cómo explotar el Intel IME a través de USB para ejecutar código sin firmar .

El punto es que incluso si tiene un sistema operativo completamente seguro y nunca descarga ningún software inseguro o malintencionado, todavía existe una posibilidad no despreciable de que pueda verse afectado por un malware que omita todo eso al explotar una vulnerabilidad de seguridad en su hardware (incluso cuando su computadora supuestamente está apagada).

1
user21820

Algo que no he visto aquí:

Si el atacante obtiene permiso suficiente para instalar incluso un firmware UEFI oficial, firmado correctamente por el fabricante del sistema, aún puede dejar la computadora en un estado que no se puede arrancar apagando la computadora en el momento oportuno durante el proceso.

El código de actualización en los firmwares modernos generalmente intenta minimizar la cantidad de tiempo que la computadora pasa en un estado donde una falla de energía causará la corrupción del firmware, y algunos firmwares incluso tienen un modo de recuperación que se activará en tal caso.

Sin embargo, muchos de estos sistemas no son completamente a prueba de balas. Aunque ofrecen una buena protección contra fallas de energía al azar, un apagado oportuno aún podría dejarlo sin vida si el firmware no tiene una función de recuperación automática robusta.

Además, es posible que ni siquiera necesite atacar el firmware principal del sistema. Casi todos los dispositivos en una PC moderna tienen algún tipo de firmware, y muchos de ellos pueden actualizarse mediante software. Estos dispositivos también suelen ser menos seguros. Pueden aceptar firmware no firmado por completo, o al menos ser menos resistentes contra apagones maliciosos durante el proceso de actualización.

Si destruye el firmware en el controlador de energía, el controlador de almacenamiento, el dispositivo de almacenamiento, el dispositivo de video o el controlador de entrada, el sistema puede quedar tan inutilizable como si hubiera atacado el UEFI.

0
Lily Finley