...

Tails

Madmaxista
Desde
4 Ago 2021
Mensajes
10.535
Reputación
13.257
TPM 2.0 ha caído, ¿Windows 11 en cualquier PC sin bloqueo de hardware?



Los investigadores de una empresa de seguridad han logrado saltarse las restricciones de Trusted Platform Module (TPM) en tan solo 30 minutos y sin tener que hacer trabajo de soldadura, demostrando que en realidad si un atacante ha «hecho los deberes» al respecto puede saltarse todos los sistemas de seguridad actuales. ¿Qué sentido tiene entonces que Microsoft imponga el requisito de tener TPM para Windows 11?
Supongamos que eres una gran empresa que acaba de enviarle a un empleado un nuevo ordenador portátil, y digamos que éste viene preconfigurado para utilizar las mejores prácticas de seguridad para evitar fuga de información, incluyendo TPM, cifrado del disco, configuración de BIOS protegida por contraseña, UEFI SecureBoot y demás recomendaciones. Si un atacante logra hacerse con la máquina, ¿podrá acceder a los datos? ¿Y podrá usarlo para atacar la red de la empresa? Lamentablemente, la respuesta a ambas preguntas es que sí.
TPM y demás medidas de seguridad, rotas en 30 minutos
Windows 11 TPM

Los investigadores de la consultora de seguridad Dolos Group, contratados para probar la seguridad de la red de un cliente, recibieron un ordenador portátil Lenovo preconfigurado para usar los estándares de seguridad de la organización, incluyendo TPM. No recibieron usuarios ni contraseñas, detalles de configuración ni cualquier otra información sobre la máquina, para emular lo que se encontraría un hacker que robara físicamente el portátil.
Un análisis de la configuración de la BIOS, la operación de arranque y el hardware reveló rápidamente que las medidas de seguridad implementadas podrían evitar los ataques habituales, incluyendo:
  • Ataques pcileech / DMA porque la protección VT-d de Intel estaba habilitada.
  • La autenticación omite el uso de herramientas como Kon-boot.
  • Uso de herramientas como LAN Turtle y Responder para extraer datos con adaptadores Ethernet USB.
Con poco más para poder continuar, los investigadores se enfocaron en el módulo de plataforma confiable o TPM, un chip altamente reforzado instalado en la placa base del portátil que se comunica directamente con otro hardware instalado en la máquina. Los investigadores se dieron cuenta de que como es el valor predeterminado para el cifrado del disco duro con BitLocker de Microsoft, el portátil arrancaba directamente en la pantalla de Windows sin que se solicitara ingresar un PIN o contraseña, lo que significa que el TPM era el lugar donde se almacenaba la clave criptográfica para desbloquear la unidad.
Microsoft recomienda anular el valor predeterminado y utilizar un PIN o contraseña, pues de esta manera haría falta que el atacante tuviera conocimientos muy avanzados y que desmontara el portátil e hiciera cierto trabajo de soldadura en el módulo TPM para acceder a él. Sin embargo, los investigadores dijeron al respecto que el consejo de Microsoft es inadecuado:
«Un atacante pre-equipado podría realizar toda la cadena de ataque en menos de 30 minutos sin hacer soldaduras, con hardware simple y barato y con herramientas disponibles públicamente, lo que coloca a este proceso directamente al alcance de cualquier usuario con conocimientos avanzados».







Microsoft no permitirá saltarse TPM 2.0
Microsoft lamenta que todos aquellos que tengan ordenadores antiguos no vayan a poder instalar el nuevo sistema operativo, pero afirma que lo hacen para que nuestros dispositivos sean más seguros que nunca. En el anuncio del sistema operativo, afirmaron que, en sus pruebas, los ordenadores con TPM 2.0 activado sufrían un 60% menos de infecciones de malware y apenas tenían problemas por drivers.

Esta cifra ha sido más que suficiente para que Microsoft obligue a tener TPM 2.0, a pesar de que cientos de millones de ordenadores vayan a quedarse sin poder ser actualizados a Windows 11, y a partir de 2025 se queden sin soporte de actualizaciones de Windows 10. Así, un ordenador de 2016 quedaría técnicamente obsoleto y desprotegido, a pesar de que por potencia pueda ejecutar Windows 11 más que de sobra.

 
Volver