Questa estate era stata pubblicata la notizia di un problema di sicurezza di alcuni microcontroller USB prodotti da Phison.
Il problema consiste nella possibilità da parte di un applicativo qualsiasi di riprogrammare il firmware di un dispositivo USB connesso ad un computer. Una volta riprogrammato, il firmware del dispositivo può comportarsi in maniera dannosa e mettere a repentaglio la sicurezza del computer a cui è connesso. I ricercatori che avevano fatto questa scoperta avevano deciso di non pubblicare alcuna informazione utile per sfruttare questa vulnerabilità.
Pochi giorni fa Adam Caudill e Brandon Wilson hanno deciso di pubblicare su GitHub il software che sfrutta questa vulnerabilità.
Il software pubblicato funziona con il controller PS2251-03 di Phison, che gli autori del software hanno trovato in alcuni device. Tuttavia i controller di Phison sono molto utilizzati e sicuramente la lista dei dispositivi pubblicata dagli autori non è completa.
Un firmware modificato di un dispositivo USB (non necessariamente una chiavetta) potrebbe essere istruito per portare diversi tipi di attacchi. Ad esempio un dispositivo di memorizzazione di massa potrebbe essere istruito per presentarsi anche come dispositivo di input per simulare la pressione di tasti, oppure potrebbe contenere un malware che viene installato sul computer a cui viene connesso.
Il problema è che il codice dannoso viene eseguito appena il dispositivo è connesso al computer e una chiavetta apparentemente vuota potrebbe contenere un virus. Dal momento che i programmi antivirus normalmente leggono quello che trovano nei file system o nelle aree di sistema dei dispositivi di memorizzazione, in questo momento un firmware modificato di un dispositivo USB non viene riconosciuto dagli antivirus perché quel codice non si trova in un’area esposta (ovvero leggibile) al sistema operativo attraverso i normali comandi di lettura dei dispositivi di memorizzazione.
Il vero problema è che questa falla di sicurezza è abbastanza difficile da tappare o mitigare. L’utilizzo di microcontroller programmabili è di gran lunga la soluzione più economica rispetto ad altre alternative come l’uso di ASIC o ROM. Inoltre in giro in questo momento ci sono moltissimi dispositivi potenzialmente vulnerabili: il fatto che Caudill e Wilson abbiano rilasciato il codice per il Phison PS2251-03 non significa affatto che quel chip sia l’unico vulnerabile, anzi c’è il legittimo sospetto che lo siano moltissimi altri microcontroller.
Mantenere il sistema operativo sempre aggiornato può mitigare gli effetti di un dispositivo USB compromesso, in quanto se il dispositivo tenta di sfruttare una vulnerabilità nota del sistema, il problema potrebbe essere stato risolto con degli aggiornamenti.
Lascia un commento