Si se explotan, estas fallas pueden permitir a los atacantes obtener acceso no autorizado a información confidencial o, en general, causar problemas

Investigadores de Pulse Security, dieron a conocer mediante una publicación de blog, información sobre su descubrimiento de una vulnerabilidad en la implementación del mecanismo de desbloqueo automático para el cifrado completo del disco.

Los investigadores menciona que la vulnerabilidad permite, si tiene acceso físico a la computadora, ejecutar comandos como root en una etapa temprana del arranque, desbloquear manualmente el cifrado disco y obtener acceso completo a la información almacenada en los discos.

Esta es una exploración de una vulnerabilidad de seguridad real que descubrimos y explotamos mientras trabajábamos con uno de nuestros clientes. Esta vulnerabilidad se puede utilizar para obtener acceso root local a una computadora Ubuntu 20.04 Linux protegida con TPM si utiliza el software Clevis y dracut de RedHat para implementar el desbloqueo desatendido para el cifrado completo del disco LUKS.

Se menciona que la vulnerabilidad afecta a los sistemas Linux que utilizan el formato de cifrado LUKS, mecanismos de protección de claves basados ​​en TPM y componentes Clevis, dracut y systemd para organizar el desbloqueo automático en el momento del arranque.

Esta configuración es deseable cuando una computadora necesita tener cifrado de disco pero aún así permitir reinicios remotos sin que alguien la desbloquee manualmente después. En circunstancias normales, todo lo que vería un atacante que se presente en la computadora cifrada es un mensaje de inicio de sesión sin posibilidad de obtener acceso directo al sistema.

En la información que comparten los desarrolladores se menciona que, el método de ataque se asemeja a una vulnerabilidad descubierta en 2016 en Cryptsetup, que permitía el acceso root al shell de comandos del entorno de arranque inicial manteniendo presionada la tecla Enter en respuesta a una solicitud de contraseña para desbloquear la partición cifrada.

Y es que se menciona que se identificó una nueva variante de ataque después de comprobar cómo reaccionaría el sistema si Enter no se generara manualmente, sino utilizando un emulador de teclado que proporciona el menor retraso posible entre pulsaciones.

Para el experimento, se montó una llave USB que simula continuamente presionar Enter con un retraso de 15 milisegundos, lo que es aproximadamente 10 veces más rápido que mantener presionada una tecla en un teclado convencional.

El ataque exitoso se demostró en una configuración basada en Ubuntu 20.04 que cumple con los requisitos anteriores, que fue utilizada por uno de los clientes de Pulse Security. Estas configuraciones basadas en el marco Clevis y que almacenan información para descifrar claves en TPM se usan generalmente cuando es necesario proporcionar cifrado de disco en servidores remotos donde no hay forma de ingresar manualmente una contraseña para desbloquear discos cifrados después de cada reinicio.

Al mismo tiempo, además del desbloqueo automático en dichos sistemas, también existe la posibilidad de ingresar manualmente la contraseña para desbloquear la partición cifrada, que se deja en caso de que falle el proceso de desbloqueo automático.

El ataque se reduce al hecho de que un atacante puede conectar un dispositivo para simular una pulsación continua de Enter, revertir el proceso de arranque para ingresar manualmente una contraseña de desbloqueo y tener tiempo para agotar el límite máximo en el número de intentos de ingresar una contraseña en un corto período de tiempo antes del final de la ejecución del controlador de desbloqueo automático, ya que el desbloqueo automático lleva tiempo y, al simular presiones Enter muy rápidas, puede completar el proceso de desbloqueo manual antes de que se complete el proceso de desbloqueo automático paralelo.

Además, dado que la información para descifrar las claves se almacena en el TPM, el atacante, mientras conserva el acceso root, puede iniciar el proceso regular de desbloqueo automático de unidades cifradas utilizando el kit de herramientas Clevis y montar la partición root desde la unidad cifrada.

Finalmente se menciona que como posible defensa contra un ataque, se recomienda configurar los parámetros en el arranque, que se reiniciarán automáticamente en lugar de cambiar a una sesión interactiva en caso de un error de arranque temprano.

kernel rd.shell=0 

y

rd.emergency=reboot

Si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/21V7s8I
via IFTTT

AMD, es una compañía estadounidense de procesadores

Hace pocos días AMD dio a conocer mediante una publicación de blog, la liberación del código fuente de su mecanismo de seguridad AMD SEV (Secure Encrypted Virtualization), el cual tiene como finalidad el proteger las máquinas virtuales de ser comprometidas por un hipervisor o un administrador del sistema host.

Hay que recodar que AMD en 2016 lanzo SEV, como una solución de seguridad de virtualización cifrada segura y con lo cual resolvió diversos problemas en las tecnologías de virtualización tradicionales con el hipervisor que permitía acceder a los datos de los invitados.

Cabe mencionar que AMD ya ha incluido el soporte SEV en la rama principal del kernel de Linux, tanto para el host como para KVM.

Sobre la liberación del código, se menciona que el motivo principal de la publicación del código se cita como una demostración de compromiso con las ideas de código abierto (por ejemplo, AMD ya está desarrollando el proyecto abierto openSIL relacionado con el firmware) y promoviendo una iniciativa para aumentar la transparencia de las tecnologías relacionadas con la seguridad.

En particular, el código fuente proporcionado permitirá una auditoría independiente de la implementación de AMD SEV.

“Aplaudimos la decisión de AMD de poner partes de su firmware de seguridad a disposición del público para su inspección. Esto está totalmente en línea con la filosofía de la informática confidencial de Azure de adoptar el código abierto y abrir nuestro propio código cuando sea práctico”. Mark Russinovich, CTO de Azure y miembro técnico de Microsoft.

Por la parte de la funcionalidad de SEV, se menciona que la protección de AMD SEV se implementa mediante cifrado a nivel de hardware de la memoria de la máquina virtual, en donde solo el sistema invitado sobre el que se ejecuta tiene acceso a los datos descifrados, mientras que para el resto de las máquinas virtuales y el hipervisor, estos reciben un conjunto de datos cifrados cuando intentan acceder a esta memoria.

Las claves de cifrado se administran en el lado de un procesador PSP (Platform Security Processor) separado integrado en el chip, implementado sobre la base de la arquitectura ARM, ademas de que la tecnología es compatible con la familia de procesadores de servidor AMD EPYC.

Los procesadores AMD EPYC son reconocidos por su rendimiento y características de seguridad, que están diseñados para proteger los datos en reposo, en movimiento y en uso. Estos procesadores se utilizan cada vez más en una cartera cada vez mayor de máquinas virtuales habilitadas para computación de servicios en la nube, incluidos Amazon Web Services (AWS), Google Cloud, Microsoft Azure y Oracle Compute Infrastructure (OCI).

«Como líder en informática confidencial, estamos comprometidos con una búsqueda incesante de innovación y la creación de funciones de seguridad modernas que complementen las ofertas de nube más avanzadas de nuestros socios del ecosistema», afirmó Mark Papermaster, vicepresidente ejecutivo y director de tecnología de AMD.

“Al compartir los fundamentos de nuestra tecnología SEV, ofrecemos transparencia para la informática confidencial y demostramos nuestra dedicación al código abierto. Involucrar a la comunidad de código abierto fortalecerá aún más esta tecnología crítica para nuestros socios y clientes que esperan nada menos que la máxima protección para su activo más valioso: sus datos”.

En cuanto a la licencia sobre la cual se libero el código del firmware de AMD SEV, se menciona que esta permite usar, copiar, modificar, distribuir y crear trabajos derivados para usar únicamente con hardware AMD.

La licencia prohíbe la inclusión de código en productos distribuidos bajo otras licencias o patentes infractoras. El desarrollo de firmware continúa internamente en AMD, que no tiene intención de aceptar cambios de terceros, pero considerará comentarios y opiniones.

Para los interesados en el código, deben saber que este se publica bajo un acuerdo de licencia separado y corresponde al firmware SEV FW 1.55.25 utilizado en la cuarta generación de procesadores AMD EPYC y pueden consultarlo en GitHub en el siguiente repositorio.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/jhp2yxq
via IFTTT