Una nueva forma de ataque que instala un rootkit directamente en el sistema Bios de la computadora, haría inservible al programa antivirus, advirtieron los investigadores.

Alfredo Ortega y Anibal Sacco de Core Security Technologies explicaron que el ataque es posible contra casi todos los sistemas comunes de Bios en uso actualmente.

Los investigadores idearon un script Python de 100 líneas que puede ser grabado en la memoria flash del Bios para instalar un rootkit. Debido a que el programa del Bios se activa antes que cualquier otro programa en una computadora cuando esta se incia, los programas normales de anti-virus serían incapaces de detectarlo.

"Probamos el sistema en la mayoría de los tipos comunes de Bios", dijo Ortega. "Existe la posibilidad que los nuevos tipos de Bios de Interface Extensible de Firmware (EFI BIOS) puedan ser resistentes al ataque, pero se requieren más pruebas."

El ataque solo es posible si el atacante ya tiene control administrativo completo de la PC objetivo, pero esto es posible mediante una infeccion estándar de virus. Una vez conseguido eso, el operador del malware sería capaz de grabar un rootkit directamente en el Bios.

Incluso si el virus inicial fuera detectado y eliminado, la computadora seguiría aun bajo control remoto. Una limpeza complerta del disco duro y resintalacion completa del sistema operativo no lo eliminaría, advirtieron los investigadores.

Si un rootkit sofisticado fuera colocado en el Bios sería aún mas difícil para un administrador poder rastrearlo en el sistema, según Ivan Arce, gerente de Tecnología de Core Security.

"Necesitaría regrabar la memoria flash del Bios con un sistema que uno sepa que no ha sido manipulado", dijo. "Pero si el rootkit es suficientemente sofisticado sería necesario eliminar y reemplazar físicamente el chip de Bios."

El vector de ataque también es utilizable contra sistemas virtuales, dicen los investigadores. El Bios en VMware está integrado como un módulo en el ejecutable principal de VMware, y por lo tanto podría ser alterado.

Sin embargo, es posible protegerse consta este ataque cerrando el chip del Bios a las actualizaciones, ya sea físicamente o mediante protegiendo por contraseña los cambios no autorizados del sistema.

"El mejor enfoque es impedir que los virus graben en la Bios," dijo Sacco. "Necesita impedir la grabacion de la Bios, incluso si esto significa sacar un jumper en la placa madre."

Fuente