Linux

La nueva herramienta de seguridad de Microsoft encontrará fallas de firmware en PC, dispositivos IoT y más

La nueva herramienta de seguridad de Microsoft encontrara fallas de

A medida que los sistemas operativos se vuelven más seguros, los atacantes dirigen cada vez más su atención al firmware, que es menos obvio, más básico y rara vez está bien protegido.

Debe leer el informe de seguridad

Las vulnerabilidades en el firmware representan un aumento constante de nuevos problemas que se agregan a la base de datos nacional de vulnerabilidades del NIST: hay cinco veces más ataques que hace cuatro años. Muchas organizaciones están sufriendo ataques de firmware (en una encuesta reciente de Microsoft, el 83 % de las organizaciones sabían que habían sido comprometidas), pero proteger el firmware es solo una pequeña parte del presupuesto de seguridad.

mirar: Política de inventario de hardware (Premium de la República Tecnológica)

Parte del problema es la falta de herramientas disponibles para escanear la red en busca de qué firmware está en uso y qué vulnerabilidades existen. Hay una gran cantidad de código mal escrito y reutilizado en el firmware, y muy pocos dispositivos vienen con una «lista de materiales» de software que le indica lo que hay dentro de la carcasa. Si encuentra un problema, la actualización del firmware es un proceso fragmentado y de bajo nivel, y las mitigaciones de vulnerabilidades no se pueden aplicar debajo de la capa del sistema operativo.

Es por eso que Microsoft adquirió ReFirm Labs, hogar de la herramienta de código abierto Binwalk, cuya plataforma Centrifuge Firmware automatiza el proceso de análisis estático para encontrar vulnerabilidades en su firmware ya expuesto.

«Las herramientas de seguridad fundamentales en el mundo de las computadoras de escritorio son el pan de cada día del CISO, pero IoT no las tiene», dijo a Tecnopedia David Weston, director de asociaciones para seguridad empresarial y de sistemas operativos de Microsoft. conectados a la nube y pasar de este mundo aislado de tecnología operativa a un mundo en la nube conectado a la IA”.

«Es difícil para mí decir que Windows es seguro, o que Linux es seguro, sin decir que el firmware es seguro, y ahí es donde menos atención se presta. Es el código más privilegiado de la plataforma, e incluso puede modificar el hipervisor, es el menos visto y menos actualizable. Es invisible para la mayoría de las tecnologías de seguridad actuales».

1693068202 213 La nueva herramienta de seguridad de Microsoft encontrara fallas de

De hecho, la mayoría de las tecnologías de seguridad dependen del firmware para almacenar de forma segura las credenciales; si el firmware se ve comprometido, también lo está la herramienta de protección de endpoints. «Pago a la gente para que sean los atacantes más eficaces posibles», señala Weston (una de sus responsabilidades es dirigir un equipo rojo para atacar Windows). «Nueve de cada diez veces elegirán un vector de firmware».

El firmware es un posible problema de seguridad en PC, servidores, dispositivos IoT, enrutadores de red y muchos otros dispositivos. «Cada dispositivo informático moderno normalmente consta de seis o siete (si no más en un servidor) sistemas operativos diferentes, y podemos aprender sobre uno de ellos. Tomemos como ejemplo el Surface Laptop: hay un chip Wi-Fi en su interior, ejecuta algo como ThreadX, que es un sistema operativo en tiempo real, [Microsoft] compra [in 2019], tienes un SSD con un controlador integrado independiente y una distribución de Linux independiente: ¿qué hay en el SSD? »

1693068203 747 La nueva herramienta de seguridad de Microsoft encontrara fallas de

Algunos dispositivos IoT están bien diseñados con buenas opciones de seguridad, como arranque seguro y aleatorización del diseño del espacio de direcciones; otros tienen puertos abiertos y contraseñas predeterminadas extremadamente débiles. «Podrían haber hecho un buen o mal trabajo; simplemente no lo sabes», advierte Weston. «Lo que necesitamos es la capacidad de juzgar lo que es bueno y lo que es malo».

Un investigador de seguridad experimentado como Weston puede investigar utilizando herramientas como BinWalk, pero incluso hasta el punto en que se puede realizar un análisis estático para encontrar vulnerabilidades en el firmware es un proceso manual que implica secuencias de comandos y desempaquetado extensos, ReFirm hace que ReFirm sea más rápido y sencillo.

«Tengo un laboratorio de IoT. Siempre puedo revertir estas cosas, pero ¿quién tiene tiempo para eso? Tengo el privilegio de ser mi propio ingeniero de seguridad; sacar un montón de computadoras portátiles diferentes y obtener una perspectiva me deja boquiabierto. He encontrado serios problemas de seguridad y me asusta».

La fortaleza de ReFirm no es sólo la calidad de los escaneos y el análisis estático; es la calidad de los escaneos y el análisis estático. Está diseñado para ser utilizable.

«Es simplemente arrastrar y soltar. Vas al sitio web del fabricante del enrutador, descargas el archivo flash del firmware, lo arrastras allí y desde la herramienta automatizada obtienes un informe de prueba de penetración de una calidad impresionante. Genera un archivo PDF que dice: «Tienes estos CVE, es un problema de configuración, es una brecha entre este y un régimen de certificación y cumplimiento muy común». Es realmente útil, y al tomar tecnologías que Microsoft ya tiene y comenzar a integrarlas en esta plataforma, mejorará».

Esta simplicidad es clave para ayudar a las organizaciones a combatir las amenazas del firmware, afirmó Weston.

«La comunidad de seguridad siempre se centra en las cosas más interesantes y en lo que está por venir, mientras que la comunidad de seguridad empresarial actual está luchando con lo básico», señaló Weston. «Me miran para hacer las cosas más fáciles. No se trata de agregar nuevas características, aunque ellos también lo quieren: se trata de hacer las cosas que hoy son difíciles más fáciles para que la gente tenga tiempo para dedicarlo a asuntos más estratégicos sobre el tema del sexo».

ganar popularidad

Al director ejecutivo de Microsoft, Satya Nadella, le gusta predecir que habrá 50 mil millones de dispositivos conectados para 2030; hay muchas vulnerabilidades potenciales en sistemas críticos que el software de seguridad actual a menudo no puede abordar.

«Una pequeña parte de eso será algo que se pueda analizar con las herramientas actuales, y algo como ReFirm puede crecer para hacer todo lo demás», dijo Weston. «Estos son dispositivos en los que no se puede simplemente instalar un paquete de análisis de vulnerabilidad e incluso iniciar sesión en él. Es necesario tener alternativas, y este tipo de análisis estático de firmware tiene mucho sentido».

Encaja muy bien con la herramienta de descubrimiento de activos CyberX que adquirió Microsoft, que ahora forma parte de Azure Defender para IoT, para descubrir dispositivos conectados y los protocolos que utilizan. Suena simple, pero pocas organizaciones lo saben.

«Lo primero que te dice es lo más importante en seguridad, ¿qué hay en mi red? No subestimes lo difícil que es esto en la red empresarial promedio», señaló Weston. «El solo hecho de saber ‘oh, mi ascensor está manteniendo una conversación SNMP de forma clara’ es difícil de entender para la mayoría de las empresas».

Esto le brinda una base para saber cuándo ocurre un comportamiento inusual que podría significar que está bajo ataque. «Si algún protocolo Modbus de aspecto extraño comienza a propagarse por su red y que antes no existía, es posible que esté buscando ransomware».

Una característica adicional de ReFirm, dijo Weston, es saber si debería estar satisfecho con los dispositivos que CyberX descubre que están conectados a su red. «¿Debería conectar estos dispositivos en primer lugar? Si tienen OpenSSH con una contraseña de 123, que es tan buena como CyberX, entonces no deberías usarlo en tu red».

El programa ReFirm de Microsoft

Hoy en día, ReFirm requiere que usted proporcione archivos de firmware, pero Microsoft planea crear una base de datos con información del dispositivo, dijo Weston. «Te conectas a CyberX, descubre dispositivos, los monitorea y pregunta a ReFirm ‘¿sabes qué está pasando con el dispositivo IoT X o Y?’. Con suerte, hemos escaneado previamente la mayoría de los dispositivos y podemos difundir información, para nosotros Cualquiera dispositivo que no tiene una interfaz de arrastrar y soltar para análisis personalizados”.

Saber qué hay en la web y si es seguro es un buen primer paso. El Servicio de actualización de dispositivos Azure ya puede enviar actualizaciones de firmware de IoT a través de Windows Update. Weston dijo que la visión más amplia de Microsoft es crear un servicio basado en Windows Update que pueda manejar una gama más amplia de dispositivos de terceros.

«Vamos a tomar Windows Update, que la gente conoce y en el que confía al menos desde el martes de parches, y queremos impulsar la IoT y los dispositivos de vanguardia en ese modelo. El sistema de actualización de Microsoft es un bien conocido, casi todos los gobiernos Los reguladores están preocupados de alguna forma por ello, por lo que estamos entusiasmados de poder incentivar a los clientes a usarlo».

Los fabricantes más pequeños a menudo no tienen la experiencia para crear y proteger sus propios mecanismos de actualización, señaló Weston. «Y no creo que los clientes quieran que hagan eso porque no [options like] «Sólo quiero hacerlo a las 2 de la madrugada, sólo quiero presentar ese nivel de criticidad». Han establecido un proceso para eso. Tienen Qualys y Nessus sobre la mesa, pero ningún equivalente de IoT. Creo que ReFirm permitirá a las empresas llenar ese vacío y luego permitirá a las personas organizarlo mediante Azure Device Update. »

mirar: El futuro del trabajo: herramientas y estrategias para el lugar de trabajo digital (PDF gratuito) (República Tecnológica)

ReFirm es útil incluso para la seguridad del hardware del firmware (como dispositivos centrales seguros). Además de estar disponible en PC y servidores, Secured-core también sirve como certificación para dispositivos IoT que deben tener instalado el agente Azure Defender para IoT y realizar recopilación de registros, telemetría y actualizaciones de dispositivos.

En el futuro, Weston espera que ReFirm forme parte de la certificación. «No sólo asegúrese de transportar el dispositivo de forma segura, sino que también escanéelo periódicamente con la tecnología de firmware ReFirm y mantenga el firmware actualizado».

A pesar del nombre, es posible que ReFirm no se limite al firmware. Microsoft tiene herramientas de análisis estáticas y dinámicas que se pueden agregar al producto, que Weston comparó con las nuevas opciones de análisis frecuentemente actualizadas de VirusTotal. «Podría seguir poniendo múltiples capas de herramientas en el proceso de análisis. Creo que esto tiene la oportunidad de ser un producto similar a VirusTotal que, en lugar de buscar malware, busca vulnerabilidades en objetos arbitrarios. Nos centramos en el firmware porque eso parece «Puede ser una aplicación real, pero podría ser una instantánea de una máquina virtual o muchas otras cosas».

Esta también es una buena noticia para los fanáticos de la herramienta de código abierto Binwalk. Microsoft va a invertir mucho en esto porque ya es ampliamente utilizado por varios equipos de la empresa con necesidades de funciones, dijo Weston: «¡Creo que es posible que tengamos una acumulación de ideas para algunos años!»

LEER  Cómo configurar un servidor GitLab y alojar su propio repositorio Git

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba