\n<\/aside>\n<\/p>\n
La semana pasada, un v\u00eddeo del investigador de seguridad StackSmashing demostr\u00f3 un exploit que podr\u00eda romper el cifrado de la unidad BitLocker de Microsoft en \u00abmenos de 50 segundos\u00bb utilizando una PCB personalizada y una Raspberry Pi Pico.<\/p>\n
El exploit funciona utilizando el Pi para monitorear la comunicaci\u00f3n entre un chip TPM externo y el resto de la computadora port\u00e1til, una ThinkPad X1 Carbon de segunda generaci\u00f3n de aproximadamente 2014. El TPM almacena la clave de cifrado que desbloquea su disco cifrado y lo hace legible, y el TPM env\u00eda esa clave para desbloquear el disco una vez que ha verificado que el resto del hardware de la PC no ha cambiado desde que se cifr\u00f3 la unidad. El problema es que la clave de cifrado se env\u00eda en texto sin formato, lo que permite que un rastreador como el que desarroll\u00f3 StackSmashing lea la clave y luego la use para desbloquear la unidad en otro sistema, obteniendo acceso a todos los datos que contiene.<\/p>\n
Este no es un exploit nuevo y StackSmashing lo ha dicho repetidamente. Informamos sobre un exploit de rastreo de TPM similar en 2021, y hay otro de 2019 que utiliz\u00f3 de manera similar hardware b\u00e1sico de bajo costo para obtener una clave de cifrado de texto sin formato a trav\u00e9s del mismo bus de comunicaci\u00f3n de bajo n\u00famero de pines (LPC) que utiliz\u00f3 StackSmashing. Este tipo de exploit es tan conocido que Microsoft incluso incluye algunos pasos de mitigaci\u00f3n adicionales en su propia documentaci\u00f3n de BitLocker; La principal innovaci\u00f3n nueva en la demostraci\u00f3n de StackSmashing es el componente Raspberry Pi, que probablemente sea parte de la raz\u00f3n por la cual medios como La-Tecnologia y Tom’s Hardware lo adoptaron en primer lugar.<\/p>\n
El video original es bastante responsable en cuanto a c\u00f3mo explica el exploit, y esa primera ola de informes al menos mencion\u00f3 detalles importantes, como el hecho de que el exploit solo funciona en sistemas con chips TPM discretos e independientes o que es muy similar a otros. ataques bien documentados que datan de hace a\u00f1os. Pero a medida que la historia ha circulado y vuelto a circular, algunos informes han excluido ese tipo de matiz, concluyendo esencialmente que el cifrado de la unidad en todas las PC con Windows se puede romper trivialmente con 10 d\u00f3lares de hardware y un par de minutos de tiempo. Vale la pena aclarar qu\u00e9 es y qu\u00e9 no es este exploit.<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\n\u00bfQu\u00e9 PC se ven afectadas?<\/h2>\n BitLocker es una forma de cifrado de disco completo que existe principalmente para evitar que alguien que robe su computadora port\u00e1til saque la unidad, la inserte en otro sistema y acceda a sus datos sin solicitar la contrase\u00f1a de su cuenta. Muchos sistemas Windows 10 y 11 modernos utilizan BitLocker de forma predeterminada. Cuando inicia sesi\u00f3n en una cuenta de Microsoft en Windows 11 Home o Pro en un sistema con TPM, su unidad generalmente se cifra autom\u00e1ticamente y se carga una clave de recuperaci\u00f3n en su cuenta de Microsoft. En un sistema Windows 11 Pro, puede activar BitLocker manualmente, ya sea que use una cuenta de Microsoft o no, haciendo una copia de seguridad de la clave de recuperaci\u00f3n como mejor le parezca.<\/p>\n
De todos modos, un posible exploit de BitLocker podr\u00eda afectar los datos personales de millones de m\u00e1quinas. Entonces, \u00bfqu\u00e9 importancia tiene este nuevo ejemplo de un viejo ataque? Para la mayor\u00eda de las personas, la respuesta probablemente sea \u00abno mucho\u00bb.<\/p>\n
Una barrera de entrada para los atacantes es t\u00e9cnica: muchos sistemas modernos utilizan m\u00f3dulos de firmware TPM, o fTPM, que est\u00e1n integrados directamente en la mayor\u00eda de los procesadores. En m\u00e1quinas m\u00e1s baratas, esta puede ser una forma de ahorrar en fabricaci\u00f3n: \u00bfpor qu\u00e9 comprar un chip aparte si puedes usar simplemente una caracter\u00edstica de la CPU por la que ya est\u00e1s pagando? En otros sistemas, incluidos aquellos que anuncian compatibilidad con los procesadores de seguridad Pluton de Microsoft, se comercializa como una caracter\u00edstica de seguridad que mitiga espec\u00edficamente este tipo de ataques llamados \u00abde rastreo\u00bb.<\/p>\n
Esto se debe a que no existe un bus de comunicaci\u00f3n externo que pueda detectar un fTPM; est\u00e1 integrado en el procesador, por lo que cualquier comunicaci\u00f3n entre el TPM y el resto del sistema tambi\u00e9n ocurre dentro del procesador. Pr\u00e1cticamente todas las computadoras de escritorio compatibles con Windows 11 de fabricaci\u00f3n propia utilizar\u00e1n fTPM, al igual que las computadoras de escritorio y port\u00e1tiles modernas y econ\u00f3micas. Revisamos cuatro computadoras port\u00e1tiles Intel y AMD recientes de menos de $ 500 de Acer y Lenovo, y todas usaban TPM de firmware; Lo mismo ocurre con cuatro computadoras de escritorio de construcci\u00f3n propia con placas base de Asus, Gigabyte y ASRock.<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\nIr\u00f3nicamente, si est\u00e1 utilizando una computadora port\u00e1til con Windows de alta gama, es un poco m\u00e1s probable que su computadora port\u00e1til use un chip TPM externo dedicado, lo que significa que podr\u00eda ser vulnerable.<\/p>\n\nAgrandar
\/<\/span> Esta computadora port\u00e1til utiliza Microsoft Pluton, que es un fTPM. Si ve AMD o Intel en la lista aqu\u00ed, probablemente est\u00e9 usando un chip fTPM y no un chip TPM dedicado.<\/div>\nAndres Cunningham<\/p>\n<\/figcaption><\/figure>\n
La forma m\u00e1s sencilla de saber qu\u00e9 tipo de TPM tiene es ir al centro de seguridad de Windows, ir a la pantalla Seguridad del dispositivo y hacer clic en Detalles del procesador de seguridad. Si el fabricante de su TPM figura como Intel (para sistemas Intel) o AMD (para sistemas AMD), lo m\u00e1s probable es que est\u00e9 utilizando el fTPM de su sistema y este exploit no funcionar\u00e1 en su sistema. Lo mismo ocurre con cualquier cosa en la que Microsoft figure como fabricante de TPM, lo que generalmente significa que la computadora usa Pluton.<\/p>\n
Pero si ve otro fabricante en la lista, probablemente est\u00e9 usando un TPM dedicado. Vi TPM de STMicroelectronics en un Asus Zenbook de gama alta reciente, un Dell XPS 13 y un Lenovo ThinkPad de gama media. StackSmashing tambi\u00e9n public\u00f3 fotos de un ThinkPad X1 Carbon Gen 11 con un TPM de hardware<\/a> y todos los pines que alguien necesitar\u00eda para intentar obtener la clave de cifrado, como evidencia de que no todos los sistemas modernos han cambiado a fTPM, algo que, ciertamente, tambi\u00e9n hab\u00eda asumido inicialmente. Es pr\u00e1cticamente seguro que todas las computadoras port\u00e1tiles fabricadas antes de 2015 o 2016 utilizar\u00e1n TPM de hardware cuando los tengan.<\/p>\nEso no quiere decir que los fTPM sean completamente infalibles. Algunos investigadores de seguridad han podido vencer los fTPM en algunos de los procesadores de AMD con \u00ab2 a 3 horas de acceso f\u00edsico al dispositivo de destino\u00bb. Los TPM de firmware simplemente no son susceptibles al tipo de ataque f\u00edsico basado en Raspberry Pi que demostr\u00f3 StackSmashing.<\/p>\n<\/p><\/div>\n