Buscar

2012/07/31

Descubren una nueva manera de infectar la BIOS y las tarjetas de red


Tras el Black Hat, llega Defcon, otra cita para los expertos de seguridad que también está ofreciendo sorpresas, como la del investigador de seguridad Jonathan Brossard, quién ha creado la prueba de concepto de una puerta trasera, a la que ha bautizado, Rakshasa capaz de remplazar la BIOS (Basic Input Output System) del ordenador y comprometer el sistema operativo en el momento del arranque sin dejar huellas en el disco duro.
Rakshasa no es el primer malware en infectar la BIOS, que es el firmware que, a nivel de placa base, sirve para iniciar otros componentes de hardware. Sí que se diferencia de otros métodos en que utiliza trucos nuevos que evitan que sea detectado. Lo que hace Rakshasa es remplazar la BIOS de la placa base, además de infectar el firmware de otros dispositivos periféricos, como el de las tarjetas de red o los CD-ROMs.
La prueba de concepto, el malware, se ha creado utilizando software de código abierto y suplanta la BIOS suministrada por el fabricantes con una combinación de Coreboot y SeaBIOS, alternativas que funcionan con una variedad de placas base de diferentes fabricantes.
Todos los componentes se han modificado para que no muestren nada que pueda detectar su presencia durante el proceso de arranque.  Además, el hecho de que la actual arquitectura permita a los periféricos acceder a la RAM hace que un CD-ROM pueda controlar una tarjeta de red y que alguien restaurara la BIOS original, el firmare falso localizado en la tarjeta de red podría utilizarse para reactivar el falso BIOS.
Jonathan Brossard asegura que la única manera de acabar con el malware sería apagar el ordenador y remplazar manualmente cada periférico, algo casi imposible para la mayoría de los usuarios.
Aunque el investigador ha asegurado que no hará pública la prueba de concepto, también ha advertido que al estar creada con componentes de código abierto, podría replicarse.

No hay comentarios: