Windows ejecuta automáticamente la "Instalación del dispositivo" y el firmware está instalado

No, el firmware es un programa especial ejecutado por el microcontrolador dentro de la unidad USB. Windows instalará el controlador . Firmware es el programa que interactúa con el puerto USB y escribe y lee cosas en el chip flash, realiza la corrección de errores y ejecuta algunas otras tareas, como identificarse y permitir su propia actualización. Se ejecuta completamente dentro del dispositivo USB, en su propia memoria y procesador, no en la computadora host, el teléfono celular o la consola de juegos.

  

ese firmware no reside dentro del espacio accesible por el usuario

Probablemente quiso decir el controlador . La mayoría de las veces, el dispositivo se identificará como Mass Storage Device y Windows cargará el controlador desde el sitio de Windows Update. En los casos excepcionales en los que no se encuentra el controlador, Windows dirá que no pudo encontrar el controlador y le dará la oportunidad de proporcionarlo usted mismo.

  

qué Windows se ejecutará automáticamente mientras esté conectado

No, Windows (o cualquier otro sistema operativo) no ejecutará automáticamente el firmware cuando conecte cualquier dispositivo USB. Ver más arriba.

  

¿Cómo me protejo de esto?

Puede lista blanca los dispositivos en los que confía y Windows ignorará cualquier dispositivo extraño. Crear una lista de los dispositivos de confianza puede llevar mucho tiempo, pero le da tranquilidad.

¿Cuáles son realmente los riesgos?

El riesgo es muy, muy pequeño y la mayoría de los posibles ataques están sobrevalorados.

El firmware modificado puede hacer que un dispositivo de almacenamiento masivo USB se identifique a sí mismo como un mouse o teclado y escriba los datos por sí mismo. Por lo general, los comandos de Win + R y algunos Powershell se utilizan para descargar y ejecutar código desde Internet.

Otro ataque involucra que el dispositivo se identifique a sí mismo como un adaptador de red y cambie la resolución de DNS, apuntando a servidores de DNS deshonestos. Cualquier solicitud de DNS será redirigida a los servidores atacantes, lo que posiblemente lleve al envenenamiento de caché.

La probabilidad de ser golpeado aleatoriamente por este ataque es muy pequeña. Es mucho más posible comprar una unidad USB barata y encontrar una tienda de malware en sus archivos, no en el firmware. Los dispositivos afectados por BadUSB se utilizarán en ataques dirigidos, y probablemente también se usarán otros ataques. Para los ataques de la vida real, generalmente el atacante comprará un dispositivo especial que se parece y se parece mucho a un dispositivo USB, pero no lo es. Vea Rubber Ducky por ejemplo.

¿De dónde viene el controlador?

El controlador se descarga desde Windows Update, generalmente está firmado y es seguro, con algunas excepciones, como los controladores firmados utilizados por Stuxnet.

¿De dónde viene el firmware

El firmware se carga en el dispositivo en la fábrica y, en la mayoría de los casos, se puede actualizar una vez que el dispositivo está en uso, aunque dependiendo del dispositivo, esto puede ser imposible, o simplemente difícil de obtener el nuevo firmware y software necesarios. .

¿Qué puede hacer un firmware malo?

Un firmware incorrecto puede hacer que la unidad de disco parezca ser cualquier cosa, lo que permite ataques en los que el dispositivo pretende ser un teclado y un ratón y se hace cargo de la máquina, descargando e instalando el propio malware.

Cómo protegerse contra un firmware malo

Puede evitar conectar dispositivos limpios en equipos que se sospecha que están infectados o que no son de confianza, aunque esto no ayudará si no está seguro de que se haya infectado un equipo confiable.

También hay algunos dispositivos USB que no se pueden actualizar, pero estos suelen ser difíciles de encontrar y más caros cuando están disponibles.

Windows carga los controladores PARA el dispositivo no DESDE ELLO. Los controladores cargados se basan en las ID de hardware proporcionadas por el dispositivo (VEN_ & DEV_). Estos se cargan desde ubicaciones de confianza (System32 o Windows Update) y deben estar firmados con un certificado de confianza para poder cargarse en las versiones más recientes de Windows.

Es posible que el controlador en el dispositivo USB tenga malware. El firmware para él será básicamente imposible de verificar para el usuario promedio. Lo mejor que puede esperar de manera realista es ser una memoria flash de marca de un proveedor y una tienda de buena reputación, y confiar en que usted es un objetivo demasiado pequeño para el firmware personalizado. Además, si el controlador para el dispositivo USB se puede volver a flashear con un firmware malintencionado será básicamente aleatorio y será difícil encontrar un dispositivo que un actor malintencionado no pueda volver a flashear fácilmente.

El escenario más probable es que haya puertas traseras negables plausiblemente escritas en el firmware de los controladores a través de una codificación descuidada. Esos serán para proveedores aleatorios desde su punto de vista y serán difíciles de encontrar. Es probable que no haya muchos proveedores afectados, ya que es muy difícil de lograr y, por lo tanto, es costoso.

La vulnerabilidad de autorun.inf se mitiga en gran medida con las versiones más recientes de Windows que le preguntan qué desea hacer con los medios extraíbles cuando conecta el dispositivo por primera vez.

Algunos programas antivirus como Kaspersky también bloquean los teclados USB, hasta que se confirman bajo su control al obligarle a escribir una cadena de texto desde el dispositivo. Sin embargo, esto solo protege contra teclados falsos.

La mayoría de los dispositivos de hardware en la placa base son DMA (puede leer directamente o escribir en la memoria, sin pasar por la mayoría de las salvaguardas), el USB no tiene acceso directo a la memoria, pero hay muchos otros vectores de ataque, dado que el USB está diseñado para Conecta cualquier tipo de dispositivo.

La vulnerabilidad .lnk de Stuxnet atacó un error del explorador (shell gráfico), por ejemplo.

Hay MUCHA superficie de ataque en el hardware, firmware y software de la PC.

Aquí hay una lista decente de ataques conocidos: enlace

Siempre habrá errores en el código que pueden ser explotados, entienda que, pero también sepa que, en general, para el usuario promedio, las infecciones provendrán de fuentes automatizadas y no de ataques dirigidos, lo que limita en gran medida la posibilidad de que haya muchas vulnerabilidades. utilizado, ya que muchos de ellos son casi imposibles sin ser de un ataque dirigido.

Lo mejor que podrías hacer de manera realista es (en orden de menos a más efectivo): 1. Compre hardware confiable, de fuentes confiables, y nunca use el periférico USB en computadoras que no controla. 2. Use una máquina virtual para separar el periférico de su host físico. 3. Use QubesOS y solo conecte el periférico USB después de que el sistema operativo haya terminado de cargarse.