Prevenir ataques DMA

Para todos los usuarios de Windows 10 y versiones inferiores: los ataques DMA van en aumento

Mucha gente sigue utilizando Windows 7, 8 y 8.1. Sin embargo, con la gran cantidad de actualizaciones de Microsoft que piden a los usuarios cambiar a Windows 10, al menos el 50 por ciento de ellos lo han hecho. Aun así, los estudios indican que los usuarios siguen siendo vulnerables a los riesgos de seguridad. Este es el porqué.

Con la llegada de Thunderbolt 3, el nuevo estándar de conectividad de Intel que combina Thunderbolt, USB, DisplayPort y la alimentación, transferir información de un dispositivo a otro se ha vuelto más fácil. Por desgracia, esta mejora también ha aumentado la superficie de ataque de los sistemas operativos mencionados. Examinemos en detalles cómo se ha ampliado la superficie de ataque debido a los ataques de acceso directo a la memoria (DMA).

¿Qué son los ataques DMA?

Un ataque DMA consiste en explotar los puertos de un equipo para acceder a datos sensibles. Cuando un dispositivo externo se vincula a un equipo, se conecta automáticamente con el DMA. Se eluden todas las políticas de seguridad del sistema operativo, lo que permite que el dispositivo conectado acceda y lea o escriba directamente datos confidenciales, presentando una oportunidad para un ataque DMA.

¿Qué es la protección de DMA para kernel de Windows?

La protección contra amenazas avanzada de Windows Defender ofrece una función llamada protección de DMA para kernel que brinda una protección de la unidad de administración de memoria de entrada y salida (IOMMU) para los equipos, permitiendo que solo los dispositivos legítimos incluidos en una lista blanca se conecten a regiones específicas de la memoria. El objetivo de esta función es impedir los ataques DMA a través de dispositivos maliciosos, eliminar las transferencias de archivos no autorizadas y evitar la filtración de datos.

Inconvenientes de la protección de DMA para kernel

• La protección de DMA para kernel solo está disponible en los hardwares recién lanzados y que funcionan a partir de Windows 10 versión 1803. Lo que significa que los sistemas que funcionan con Windows 10 versión 1803 pero que fueron lanzados antes de que apareciera la protección de DMA para kernel no serán compatibles.
• La protección de DMA para kernel requiere compatibilidad con la interfaz de firmware ampliable unificada (UEFI). También requiere cambios en el firmware de la BIOS/plataforma y no se puede portar de nuevo a dispositivos lanzados anteriormente, lo que crea un desafío para los usuarios existentes de Windows 10 1803 y versiones inferiores, ya que tienen que adquirir nuevo hardware.
• Según ha informado The HackerNews, los fallos de Thunderclap han eludido la IOMMU para volver a habilitar los ataques DMA. Para colmo, la protección de DMA para kernel no protege contra ataques DMA drive-by durante el arranque, sino solo después de cargar el sistema operativo. Por tanto, si se conecta un dispositivo malicioso cuando el sistema está arrancando, podría iniciar un ataque DMA.
• No puede cambiar de BIOS a UEFI en un sistema existente. En lugar de actualizar a un hardware completamente nuevo, simplemente puede utilizar un software de control de dispositivos que proporcionará a sus PC la protección completa necesaria para eliminar los ataques DMA.

¿Cómo prevenir los ataques DMA?

Si su organización utiliza Windows 10 versión 1803 y le preocupa que sus equipos estén a punto de sufrir una explotación de DMA, puede proteger los equipos de su organización implementando un software de prevención de pérdida de datos como Device Control Plus.

Device Control Plus ofrece múltiples funciones que cubren todos los aspectos de la prevención de pérdida de datos (DLP) para endpoints físicos. El modelo de confianza cero de Device Control Plus impide la entrada de dispositivos no autorizados y maliciosos en su red utilizando listas de dispositivos de confianza. A menos que un dispositivo esté incluido en la lista, no podrá acceder a sus endpoints. Obtenga más información sobre las listas de dispositivos de confianza aquí. Descargue una prueba gratis por 30 días de Device Control Plus y pruebe estas características hoy mismo!