¿Puede un USB con un MBR o GPT infectado dañar un sistema operativo que lo lea?

Navega tus respuestas
2

Supongamos que una unidad USB tiene un MBR o GPT que contiene malware. Ya entiendo que el arranque desde un dispositivo USB de este tipo ejecutaría el malware como parte del cargador de arranque. Si entiendo correctamente, si una computadora limpia se iniciara en un sistema operativo tradicional (macOS, Windows 10, Ubuntu, etc.) y luego se insertó el dispositivo infectado, el sistema operativo no ejecutaría el código pero aún vería el MBR o GPT.

¿Es correcto que

A: un MBR o GPT infectado introducido en un sistema operativo limpio y en ejecución no tendría ningún efecto malicioso en ese momento ...

¿Y B: tendría que permanecer insertado durante un reinicio (y ser el dispositivo de arranque llamado por el BIOS) para tener un efecto malicioso?

Tenga en cuenta que esta pregunta tiene un alcance limitado y no se refiere a la capa de firmware de la unidad USB, ni a los datos en su partición de datos. En mi opinión, estas preguntas deben manejarse de manera discreta, no combinadas.

    
pregunta MasterOfNone 10.12.2018 - 00:08
fuente

1 respuesta

1

Para los virus clásicos del sector de arranque, generalmente no. Esos requieren la ejecución de código real incrustado en el sector de inicio (que coincide con la tabla de partición en las disposiciones de MBR, pero no en las configuraciones de GPT), y ningún sistema operativo sano ejecuta código desde el sector de inicio de extraíble medios de comunicación.

Sin embargo, hay al menos una excepción notable a esto, el formato de la tabla de partición Amiga Rigid Disk Block (RDB) puede integrar controladores de sistema de archivos en la misma tabla de particiones, por lo que es teóricamente posible que el malware se propague de esa manera, aunque es extremadamente improbable (solo funcionaría en sistemas que ejecuten AmigaOS o sistemas operativos compatibles, y el mercado para este tipo de malware es casi inexistente).

Sin embargo, existe una posibilidad relativamente pequeña pero todavía presente de que el sistema operativo en sí puede tener un error en el análisis de la tabla de particiones que eventualmente permitiría una vulnerabilidad de ACE que podría usarse para infectar el sistema. Para un MBR, esto es extremadamente improbable, el formato ha existido durante décadas, es un tamaño fijo y es trivial de analizar. Para GPT, es un poco más probable, ya que la estructura de GPT tiene un tamaño variable (aunque es raro ver uno que no sea el estándar de 128 entradas). Otros formatos de tablas de partición tendrían diferentes probabilidades, pero probablemente ya no importen mucho hoy.

    
respondido por el Austin Hemmelgarn 10.12.2018 - 21:26
fuente

Lea otras preguntas en las etiquetas

Respuesta a incidentes y recuperación de una brecha de seguridad con un vector de ataque desconocido ¿Qué es un ataque activo?