Millones de PCs son vulnerables a LogoFAIL, un ciberataque que permite tomar el control de su arranque. No se arregla reinstalando

Su objetivo no es ningún software concreto (afecta tanto a Windows como a Linux), sino la UEFI, el firmware de los PCs que sustituyó a las BIOS

Uefi
Sin comentarios Facebook Twitter Flipboard E-mail

Centenares de modelos de PC de prácticamente todos los fabricantes de hardware —incluidos Acer, Dell, Framework, Fujitsu, Gigabyte, HP, Intel, Lenovo, MSI, Samsung o Supermicro—, es decir, decenas de millones de equipos en uso en oficinas y hogares, son vulnerables a un ciberataque recientemente descubierto por Binarly, una compañía de investigación en ciberseguridad.

La vulnerabilidad que lo hace posible reside desde hace años en las UEFI (Interfaces de Firmware Extensible Unificada), el firmware que todo PC trae de serie para hacer posible su arranque —antes de que el sistema operativo pueda hacerse cargo del mismo—, y que hace algo más de una década reemplazaron a las BIOS (aunque no es raro que se las siga llamando así).

Binarly ha revelado la existencia de este ataque en el evento 'hacker' Black Hat Security, celebrado en Londres

El ataque recibe el nombre de 'LogoFAIL' por la sencilla razón de que puede lanzarse manipulando el procedimiento de actualización de firmware para reemplazar el logotipo legítimo del mismo (el que aparece durante el inicio del sistema).

También es posible realizar ataques físicos si el logotipo no está protegido por tecnologías de arranque verificadas por hardware.

Concretamente, el ataque aprovecha vulnerabilidades en los analizadores de imágenes utilizados por el firmware UEFI para mostrar logotipos, tanto durante el proceso de inicio como en la configuración del BIOS.

Al explotar estas vulnerabilidades, los atacantes pueden tomar el control completo del sistema y eludir medidas de seguridad como Secure Boot (recordemos, uno de los polémicos requisitos de hardware de Windows 11).

Uno de los aspectos más preocupantes de LogoFAIL es su impacto masivo


Reinstalar el sistema operativo no soluciona el problema

LogoFAIL permite ejecutar código malicioso en la etapa más sensible del proceso de inicio, conocida como DXE (Driver Execution Environment). Desde esta etapa, los atacantes pueden tomar el control total de la memoria y el disco del dispositivo, incluido el sistema operativo.

Lo más preocupante es que este ataque lleva a cabo una segunda infección que instala un bootkit en el dispositivo, lo que significa que permanecerá infectado incluso si se reinstala el sistema operativo principal o se reemplaza el disco duro. Ya pasó lo mismo, hace 5 años, con el anterior malware descubierto que afectaba a las UEFIs.

No todos los PCs modernos son vulnerables. Y los parches ya se están distribuyendo

Afortunadamente, no todos los dispositivos son vulnerables a LogoFAIL. Algunos fabricantes, como Dell, protegen sus logotipos con Intel Boot Guard, lo que evita su reemplazo incluso en caso de acceso físico al dispositivo.

La mejor manera de prevenir los ataques LogoFAIL es instalar las actualizaciones de seguridad de UEFI que se están lanzando como parte de una estrategia coordinada entre Binarly y los fabricantes de los equipos y/o de las placas base (los investigadores se han esperado a desvelar la vulnerabilidad hasta que éstos últimos tuvieran listos los parches).

Imagen | Marcos Merino mediante IA

En Genbeta | El aumento del malware que sobrevive formatear tu PC: otra razón para aprender a actualizar la BIOS/UEFI

Comentarios cerrados
Inicio