Llegamos a ustedes gracias a:



Noticias

Herramienta gratuita protege a las PC de ataques de registro de arranque maestro

[27/10/2016] El equipo de Talos de Cisco Systems ha desarrollado una herramienta de código abierto que puede proteger el registro de arranque maestro de computadoras Windows de modificaciones por ransomware y otros ataques maliciosos.

La herramienta, llamada MBRFilter, funciona como un controlador de sistema firmado y coloca al sector 0 del disco en un estado de solo lectura. Está disponible tanto para las versiones de 32 bits como para las de 64 bits de Windows y su código fuente ha sido publicado en GitHub.

El registro de arranque maestro (MBR, por sus siglas en inglés) se compone de código ejecutable que se almacena en el primer sector (sector 0) de un disco duro y lanza el gestor de arranque del sistema operativo. El MBR también contiene información sobre las particiones del disco y sus sistemas de archivos.

Puesto que el código del MBR se ejecuta antes que el propio sistema operativo, puede ser atacado por programas de malware para incrementar su persistencia y obtener una ventaja ante los programas antivirus. Los programas de software malicioso que infectan el MBR para esconderse de los programas antivirus han sido conocidos históricamente como bootkits -rootkits de arranque.

Microsoft ha intentado resolver el problema del bootkit implementando la verificación criptográfica del gestor de arranque en Windows 8 y versiones posteriores. Esta característica se conoce como Secure Boot y se basa en la Unified Extensible Firmware Interface (UEFI) -la BIOS moderna.

El problema es que Secure Boot no funciona en todas las computadoras ni en todas las versiones de Windows, y no soporta los discos particionados por MBR. Esto significa que todavía hay un gran número de computadoras que no se benefician de esto y siguen siendo vulnerables a los ataques MBR.

"MBRFilter es un simple filtro de disco basado en los controladores de ejemplo diskperf y classpnp de Microsoft, afirmaron los investigadores de Talos de Cisco en una entrada de blog. "Se puede utilizar para evitar que el malware escriba en el Sector 0 en todos los dispositivos de disco conectados a un sistema. Una vez instalado, el sistema tendrá que arrancar en modo seguro para que el Sector 0 del disco sea accesible para su modificación.