Expertos en ciberseguridad encuentran vulnerabilidad de omisión de arranque seguro UEFI
Una vulnerabilidad de seguridad de alto riesgo ha sido corregida recientemente en sistemas que emplean la interfaz UEFI o Unified Extensible Firmware Interface, un componente importante para el arranque de dispositivos actuales.
Este fallo, el cual ha sido descubierto por investigadores de ESET y reportado inicialmente por diversos medios digitales, permite a los actores maliciosos eludir las protecciones del Secure Boot o el arranque seguro, para comprometer así la integridad del sistema durante la fase de inicialización. Con una puntuación CVSS de 6,7, esta amenaza pone de manifiesto los desafíos en la seguridad del firmware, la capa crítica que opera entre el hardware y el sistema operativo.
Esta vulnerabilidad reside en una aplicación UEFI firmada con el certificado de terceros llamada “Microsoft Corporation UEFI CA 2011”, utilizado por múltiples proveedores para validar software de bajo nivel.
A diferencia de los métodos estándar de UEFI, este componente utiliza un cargador PE o Portable Executable personalizado, el cual no verifica adecuadamente la firma digital de los programas ejecutados durante el arranque.
Como resultado de esto, un atacante podría cargar código malicioso no firmado, incluso si el arranque seguro se encuentra activado. De esta manera, burla una de las principales defensas contra ataques de tipo rootkits y bootkits.
El impacto de esta vulnerabilidad afecta a una amplia gama de sistemas basados en UEFI que tengan habilitado el certificado de Microsoft antes mencionado. Existen muchos proveedores de software cuyas herramientas de recuperación o gestión de firmware incorporaban el componente vulnerable. Sin embargo, todas han lanzado sus respectivos parches, pero la exposición persiste en equipos que todavía no se encuentran actualizados.
TIC Defense se encarga de proveer a tu empresa un conjunto de soluciones, servicios, productos y herramientas que se ajustan a las necesidades de la infraestructura informática de la misma. Contamos con la tecnología de punta adecuada para combatir amenazas sofisticadas.
Para explotar esta falla, un hacker maliciosos necesita privilegios elevados, como administrador en Windows o root en Linux, lo que puede limitar, pero no eliminar este peligro. Un intruso podría obtener estos permisos mediante phishing, exploits de día cero o abuso de herramientas legítimas, para después modificar la partición del sistema o EFI (ESP), en donde se almacenan los cargadores de arranque.
Una vez que haya sido instalado, el código malicioso podría operar en una fase previa al sistema operativo, el cual permite una persistencia avanzada, el robo de datos o la desactivación de medidas de seguridad críticas.
De igual manera, los cibercriminales podrían aprovechar el propio software vulnerable firmado con el certificado de Microsoft, ampliando el alcance a cualquier sistema UEFI que confíe en dicha entidad. Esto refleja un problema de fondo, y es la dependencia excesiva de certificados de terceros en la cadena de suministro de firmware.
El gigante tecnológico Microsoft ha emitido revocaciones UEFI, a través de listas DBX, con el objetivo de invalidar los componentes afectados. Los usuarios de Windows deben asegurarse de tener instaladas las últimas actualizaciones, aplicadas automáticamente por medio de Windows Update. En el sistema operativo Linux, las correcciones se distribuyen por medio del Servicio de Firmware de Linux, llamado FWupd.
