09/12/2024

Potenciales ataques devastadores contra ATM y POS

Los ataques contra cajeros automáticos pueden tomar muchas formas, dijeron los investigadores de Eclypsium en un nuevo informe

ATM peligro

La mayoría de la gente piensa en Windows en el contexto de servidores, estaciones de trabajo y computadoras portátiles, pero estos no son los únicos tipos de dispositivos que ejecutan el sistema operativo de Microsoft. Windows también está muy extendido en el mundo de los cajeros automáticos, terminales POS, quioscos de autoservicio, sistemas médicos y otros tipos de equipos especializados.

Los cajeros automáticos y los sistemas de puntos de venta (POS) han sido un objetivo para muchos grupos de delincuentes cibernéticos en los últimos años, lo que ha resultado en algunas de las mayores infracciones de tarjetas y robos de dinero en la historia. Si bien los atacantes tienen varias formas de ingresar a estas máquinas, los investigadores ahora advierten que las vulnerabilidades en los controladores que contienen podrían permitir ataques más persistentes y dañinos.

Investigadores de Eclypsium, una compañía que se especializa en seguridad de dispositivos, han evaluado la seguridad de los controladores de dispositivos, los programas que permiten a las aplicaciones comunicarse con los componentes de hardware de un sistema y aprovechar sus capacidades. Durante el año pasado, su proyecto de investigación, denominado Screwed Drivers, identificó vulnerabilidades y fallas de diseño en 40 controladores de Windows de al menos 20 proveedores de hardware diferentes, destacando problemas generalizados con esta superficie de ataque.

La mayoría de la gente piensa en Windows en el contexto de servidores, estaciones de trabajo y computadoras portátiles, pero estos no son los únicos tipos de dispositivos que ejecutan el sistema operativo de Microsoft. Windows también está muy extendido en el mundo de los cajeros automáticos, terminales POS, quioscos de autoservicio, sistemas médicos y otros tipos de equipos especializados. Estos dispositivos son generalmente más difíciles de actualizar porque se usan en industrias y entornos regulados, por lo que las actualizaciones deben pasar pruebas y certificaciones estrictas. Ponerlos fuera de línea durante períodos prolongados puede provocar interrupciones del negocio y pérdidas financieras.

Los ataques contra cajeros automáticos pueden tomar muchas formas, dijeron los investigadores de Eclypsium en un nuevo informe:

“Los atacantes pueden entregar malware al comprometer la red bancaria conectada al dispositivo, al comprometer la conexión del dispositivo a los procesadores de tarjetas o al obtener acceso a la computadora interna del cajero automático. Y al igual que los ataques tradicionales, los atacantes o el malware a menudo necesitan aumentar los privilegios en el dispositivo víctima para obtener un acceso más profundo al sistema. Aquí es donde entra en juego el uso de controladores maliciosos o vulnerables. Al aprovechar la funcionalidad de los controladores inseguros, los ataques o su malware pueden obtener nuevos privilegios, acceder a la información y, en última instancia, robar dinero o datos del cliente “.
Vulnerabilidad en el controlador de cajero automático Diebold Nixdorf
Como parte de su proyecto de investigación, los investigadores de Eclypsium encontraron una vulnerabilidad en un controlador utilizado en un modelo de cajero automático de Diebold Nixdorf, uno de los mayores fabricantes de dispositivos para los sectores bancario y minorista. El controlador permite que las aplicaciones accedan a los diversos puertos de E / S x86 de dicho sistema.

Los cajeros automáticos son esencialmente computadoras con periféricos especializados como el lector de tarjetas, el teclado PIN, las interfaces de red o los cassettes de efectivo que están conectados a través de varios puertos de comunicación. Al obtener acceso a los puertos de E / S a través del controlador vulnerable, un atacante puede leer los datos intercambiados entre la computadora central del cajero automático y los dispositivos conectados a PCI.

Además, este controlador se puede utilizar para actualizar el BIOS, el firmware de bajo nivel de una computadora que se inicia antes que el sistema operativo e inicializa los componentes del hardware. Al explotar esta funcionalidad, un atacante podría implementar un rootkit de BIOS que sobreviviría a las reinstalaciones del sistema operativo, lo que llevaría a un ataque altamente persistente.

Según el conocimiento de los investigadores, la vulnerabilidad no ha sido explotada en ningún ataque del mundo real, pero en base a sus conversaciones con Diebold, creen que el mismo controlador se usa en otros modelos de ATM, así como en sistemas POS. Diebold trabajó con los investigadores y lanzó parches a principios de este año.

“Esto es solo la punta del iceberg en términos de lo que los conductores maliciosos son capaces de hacer”, dijeron los investigadores. “Nuestra investigación previa identificó controladores que, además del acceso arbitrario de E / S, también tenían la capacidad de leer / escribir en la memoria, modelos específicos, registros de depuración y control, así como acceso PCI arbitrario. Estas capacidades en un controlador vulnerable podría tener un impacto devastador en los dispositivos ATM o POS. Dado que muchos de los controladores en estos dispositivos no han sido analizados de cerca, es probable que contengan vulnerabilidades no descubiertas “.

El articulo puede ser revisado en su formato origen en: https://www.csoonline.com/article/3564540/vulnerable-drivers-can-enable-crippling-attacks-against-atms-and-pos-systems.html

Autor / Redactor / Director