Varios modelos de placas base de fabricantes como ASRock, ASUSTeK Computer, GIGABYTE y MSI presentan una vulnerabilidad de seguridad que los hace susceptibles a ataques de acceso directo a memoria (DMA) durante el arranque en arquitecturas que utilizan una interfaz de firmware extensible unificada (UEFI) y una unidad de gestión de memoria de entrada-salida (IOMMU).

UEFI e IOMMU están diseñados para proporcionar una base de seguridad y prevenir que los periféricos accedan a la memoria sin autorización, asegurando así que los dispositivos compatibles con DMA no puedan manipular ni inspeccionar la memoria del sistema antes de que el sistema operativo esté cargado.

La vulnerabilidad, identificada por Nick Peterson y Mohamed Al-Sharifi de Riot Games en ciertas implementaciones de UEFI, está relacionada con una falla en la protección de DMA. Aunque el firmware indica que la protección DMA está activa, no logra configurar ni activar el IOMMU durante la fase crítica de inicio.

«Esta brecha permite que un dispositivo PCIe malicioso con capacidad DMA y acceso físico lea o modifique la memoria del sistema antes de que las salvaguardas a nivel de sistema operativo se establezcan», señala el Centro de Coordinación CERT (CERT/CC) en un aviso. «Como resultado, los atacantes pueden acceder a datos sensibles en la memoria o alterar el estado inicial del sistema, comprometiendo así la integridad del proceso de arranque».

Si se explota con éxito la vulnerabilidad, un atacante que tenga acceso físico podría inyectar código al sistema afectado que ejecute firmware sin parches, permitiendo acceder o modificar la memoria a través de transacciones DMA, mucho antes de que se inicie el kernel del sistema operativo y sus medidas de seguridad.

Las vulnerabilidades que permiten eludir la protección de la memoria de arranque temprano son:

Dado que los fabricantes afectados están lanzando actualizaciones de firmware para corregir la secuencia de inicialización del IOMMU y aplicar protecciones DMA durante todo el proceso de arranque, es crucial que los usuarios finales y administradores apliquen estos parches tan pronto como estén disponibles para protegerse de la amenaza.

«En entornos donde el control y la confianza del acceso físico son limitados, la aplicación rápida de parches y el cumplimiento de las mejores prácticas de seguridad del hardware son especialmente cruciales», destacó el CERT/CC. «Dado que IOMMU también es esencial para el aislamiento y la delegación de confianza en entornos virtualizados y en la nube, esta vulnerabilidad resalta la importancia de asegurar la configuración adecuada del firmware, incluso en sistemas que no suelen utilizarse en centros de datos».

Fuente: THN

Con Información de blog.segu-info.com.ar