Centenares de modelos de PC de prácticamente todos los fabricantes de hardware —incluidos Acer, Dell, Framework, Fujitsu, Gigabyte, HP, Intel, Lenovo, MSI, Samsung o Supermicro—, es decir, decenas de millones de equipos en uso en oficinas y hogares, son vulnerables a un ciberataque recientemente descubierto por Binarly, una compañía de investigación en ciberseguridad.
La vulnerabilidad que lo hace posible reside desde hace años en las UEFI (Interfaces de Firmware Extensible Unificada), el firmware que todo PC trae de serie para hacer posible su arranque —antes de que el sistema operativo pueda hacerse cargo del mismo—, y que hace algo más de una década reemplazaron a las BIOS (aunque no es raro que se las siga llamando así).
El ataque recibe el nombre de 'LogoFAIL' por la sencilla razón de que puede lanzarse manipulando el procedimiento de actualización de firmware para reemplazar el logotipo legítimo del mismo (el que aparece durante el inicio del sistema).
También es posible realizar ataques físicos si el logotipo no está protegido por tecnologías de arranque verificadas por hardware.
Concretamente, el ataque aprovecha vulnerabilidades en los analizadores de imágenes utilizados por el firmware UEFI para mostrar logotipos, tanto durante el proceso de inicio como en la configuración del BIOS.
Al explotar estas vulnerabilidades, los atacantes pueden tomar el control completo del sistema y eludir medidas de seguridad como Secure Boot (recordemos, uno de los polémicos requisitos de hardware de Windows 11).
Reinstalar el sistema operativo no soluciona el problema
LogoFAIL permite ejecutar código malicioso en la etapa más sensible del proceso de inicio, conocida como DXE (Driver Execution Environment). Desde esta etapa, los atacantes pueden tomar el control total de la memoria y el disco del dispositivo, incluido el sistema operativo.
Lo más preocupante es que este ataque lleva a cabo una segunda infección que instala un bootkit en el dispositivo, lo que significa que permanecerá infectado incluso si se reinstala el sistema operativo principal o se reemplaza el disco duro. Ya pasó lo mismo, hace 5 años, con el anterior malware descubierto que afectaba a las UEFIs.
No todos los PCs modernos son vulnerables. Y los parches ya se están distribuyendo
Afortunadamente, no todos los dispositivos son vulnerables a LogoFAIL. Algunos fabricantes, como Dell, protegen sus logotipos con Intel Boot Guard, lo que evita su reemplazo incluso en caso de acceso físico al dispositivo.
La mejor manera de prevenir los ataques LogoFAIL es instalar las actualizaciones de seguridad de UEFI que se están lanzando como parte de una estrategia coordinada entre Binarly y los fabricantes de los equipos y/o de las placas base (los investigadores se han esperado a desvelar la vulnerabilidad hasta que éstos últimos tuvieran listos los parches).
Imagen | Marcos Merino mediante IA
En Genbeta | El aumento del malware que sobrevive formatear tu PC: otra razón para aprender a actualizar la BIOS/UEFI
Ver 0 comentarios