Los investigadores de seguridad de la consultora  Dolos Group, contratados para auditar y comprobar la seguridad de la red de un cliente, recibieron un ordenador portátil Lenovo preconfigurado para usar los estándares de seguridad de la organización, incluyendo TPM. No recibieron usuarios ni contraseñas, detalles de configuración ni cualquier otra información sobre la máquina, para emular lo que se encontraría un atacante que robara físicamente el portátil.

Cómo robando un portátil bien protegido se puede acceder a la red interna de una empresa

 Un análisis de la configuración de la BIOS, la operación de arranque y el hardware reveló rápidamente que las medidas de seguridad implementadas podrían evitar los ataques habituales, incluyendo:

• SecureBoot habilitado
• BIOS protegida con contraseña
• Boot BIOS bloqueada para  evitar el inicio desde USB 
• SSD cifrado con BitLocker usando módulo TPM
• Ataques PCILeech / DMA porque la protección VT-d  BIOS de Intel estaba habilitada.
• La autenticación omite el uso de herramientas como Kon-boot.
• Uso de herramientas como LAN turtle y Responder para extraer datos con adaptadores Ethernet USB.

Vulnerabilidad física en los módulos TPM

TPM (Trusted Module Platform) son, a día de hoy, un elemento clave en la seguridad de los sistemas. Tanto es así que, como bien sabrás, Microsoft solo permitirá la instalación de Windows 11 en sistemas dotados con este sistema de seguridad (salvo algunas excepciones), poniendo en una situación complicada a usuarios de sistemas antiguos que no cuentan con chip TPM y que tampoco tienen la posibilidad de instalarlo.

Con poco más para poder continuar, los investigadores se enfocaron en el módulo de plataforma confiable o Trusted Platform Module (TPM), un chip altamente reforzado instalado en la placa base del portátil que se comunica directamente con otro hardware instalado en la máquina. Los investigadores se dieron cuenta de que como es el valor predeterminado para el cifrado del disco duro con BitLocker de Microsoft, el portátil arrancaba directamente en la pantalla de Windows sin que se solicitara ingresar un PIN o contraseña, lo que significa que el TPM era el lugar donde se almacenaba la clave criptográfica para desbloquear la unidad.

Microsoft recomienda anular el valor predeterminado y utilizar un PIN o contraseña, pues de esta manera haría falta que el atacante tuviera conocimientos muy avanzados y que desmontara el portátil e hiciera cierto trabajo de soldadura en el módulo TPM para acceder a él. Sin embargo, los investigadores dijeron al respecto que el consejo de Microsoft es inadecuado: 

"Un atacante pre-equipado podría realizar toda la cadena de ataque en menos de 30 minutos sin soldar, con hardware simple y barato y con herramientas disponibles públicamente, lo que coloca a este proceso directamente al alcance de cualquier usuario con conocimientos avanzados".

Los módulos TPM tienen múltiples capas de defensa que evitan que los atacantes extraigan o manipulen los datos que almacenan. Por ejemplo, un análisis realizado hace más de 10 años reveló que un chip TPM fabricado por Infineon fue diseñado para autodestruirse si se le penetraba físicamente. Con pocas esperanzas de romper el chip dentro del portátil, los investigadores buscaron otras formas con las que poder extraer la clave que descifraba el disco duro, y se dieron cuenta de que el TPM se comunicaba con la CPU mediante una interfaz en serie, un protocolo de comunicaciones para sistemas integrados.

Abreviado como SPI, el firmware no proporciona capacidades de cifrado propias, por lo que cualquier cifrado debe ser manejado por los dispositivos con los que se comunica el TPM y no por éste. BitLocker no utiliza ninguna de las funciones de comunicación cifradas del último estándar TPM 2.0, así que si los investigadores pudieran aprovechar la conexión entre el TPM y la CPU, podrían extraer la clave de cifrado y acceder a todo el contenido del portátil.

   Así pues, los investigadores conectaron un analizador lógico al chip CMOS de la placa base del portátil, y en poco tiempo lograron extraer cada byte que se movía a través del chip. Luego, utilizaron el kit de herramientas bitlocker-spi-tool para aislar la clave dentro de esta masa de datos obtenida y ¡bingo!, ya pudieron eliminar el cifrado del disco, y todo gracias al TPM.

Con el disco duro descifrado, los investigadores revisaron su contenido en busca de contraseñas o archivos confidenciales que los ayudaran a acceder a la red del cliente.

TPM es seguro, su implementación no tanto…

Dada la seguridad que ofrece el chip TPM, muchos ataques quedan descartados, por lo que los investigadores probaron un enfoque distinto, es decir, buscaron debilidades relacionadas con el propio chip y su integración en el sistema. Con la configuración más habitual, al arrancar el sistema se inicia directamente Windows, sin un paso previo en el que sea necesario introducir una contraseña. Una única clave, almacenada en el chip, con la que se desbloquea el sistema.

La construcción de los propios chips TPM hace que intentar acceder directamente a su contenido sea prácticamente imposible. Incluso se afirma que hay algunos modelos con una función de autodestrucción física en caso de detectar intentos de acceder a su interior. Por su parte, los puntos que unen el chip a a placa son tan pequeños que, en la práctica, resulta casi imposible soldar algo a los mismos para intentar acceder a los datos que se transmiten desde y hacia el integrado.

¿Y para qué serviría acceder a dicho tráfico de datos? Aquí es cuando tenemos que saber que la conexión del TPM a la CPU se realiza mediante un bus SPI (Serial Peripheral Interface) y que, debido a la implementación de seguridad de BitLocker, situar un sniffer en ese bus de datos podría permitir hacerse con la clave de descifrado de la unidad de almacenamiento del sistema, ya que esta se transmite sin cifrar.

Lo ideal, por seguridad, sería que el TPM tuviera un bus exclusivo que lo conectara con la CPU, pero por cuestiones de diseño y de costes, resulta que el mismo bus empleado en esta conexión es empleado, también, por otros componentes de la placa base, entre ellos, el chip CMOS que aloja la BIOS del sistema. ¿Y qué particularidad tiene este chip? Pues que a diferencia del TPM, los pines que lo conectan a la placa base son de gran tamaño, por lo que conectar algo a los mismos es muchísimo más sencillo.

El siguiente paso era analizar todo el tráfico de datos del bus SPI al que estaban conectadas tanto la BIOS como el chip TPM, filtrando todos los datos para extraer la clave de cifrado. No les llevó demasiado tiempo aprovechar los accesos del sistema al disco duro para lograr acceso al contenido de la unidad de almacenamiento. Desde ese mismo momento, la guerra ya estaba ganada, los investigadores ya habían logrado la clave necesaria para descifrar el contenido del disco.

Fuentes: Hardzone | Arstechnica | MuyComputer