LogoFAIL: ataque al firmware, que afecta a Windows y Linux

Investigadores de seguridad descubrieron un cúmulo de agujeros en la interfaz unificada de firmware extensible (UEFI) que permite ejecutar código malicioso al iniciar el sistema y que hacen más de una década que están allí.

Un reporte de ArsTechnica detalla los hallazgos de Binarly, una firma de seguridad que analiza problemas potenciales en el firmware de las computadoras. En el marco de la Conferencia Black Hat Europa 2023, los de investigadores de Binarly revelaron que LogoFAIL aprovecha múltiples vulnerabilidades que han estado presentes por décadas en sistemas Windows y Linux.

LogoFAIL explota una vulnerabilidad en las bibliotecas de análisis de imágenes que utiliza UEFI durante el arranque. El ataque sustituye el logotipo del fabricante que se muestra al encender la computadora por otro archivo de aspecto idéntico que ha sido diseñado para ejecutar un script. Debido a que ocurre durante el proceso de arranque, no existe (por ahora) ninguna solución de seguridad que pueda detenerlo.

Para sacar provecho, el atacante debe reemplazar primero la imagen del logotipo que se encuentra en la partición que almacena el cargador de arranque (bootloader). Al reiniciar el equipo, el archivo infectado ejecutará el código malicioso durante la fase del entorno de ejecución del controlador (DXE), que es donde se realiza la mayor parte de inicialización del sistema. Esto impide que pueda ser detectado por cualquier solución de seguridad del CPU o del sistema operativo.

Una vez instalado, LogoFAIL crea un kit de arranque para permanecer en la computadora “para siempre” y sobrevive a cualquier formateo del disco.

Cómo eliminar LogoFAIL de Linux y Windows.

Debido a que LogoFAIL aprovecha las vulnerabilidades en la interfaz unificada de firmware extensible, cualquier placa madre que utilice UEFI está en riesgo. “Estas vulnerabilidades están presentes en la mayoría de los casos dentro del código de referencia, lo que afecta no a un solo proveedor sino a todo el ecosistema de este código y a los proveedores de dispositivos donde se utiliza”declaró Alex Matrosov, director ejecutivo de Binarly.

Los investigadores efectuaron una demostración de LogoFAIL en una computadora Lenovo ThinkCentre M70s con procesador Intel y medidas de seguridad de hardware activadas.

Debido a que el exploit afecta a todos los sistemas Intel, AMD y ARM, es necesario esperar a un parche del fabricante. Algunos equipos Dell y las Mac con procesadores Intel son inmunes a cualquier ataque de LogoFAIL. Esto se debe a que cuentan con mecanismos de seguridad que impiden la sustitución de los logotipos UEFI.

Hasta el momento no existe evidencia de que algún atacante haya sacado provecho, aunque los investigadores dejan claro que no hay modo de saberlo. Un atacante habría modificado el logotipo de la computadora sin que el usuario se percate, puesto que las vulnerabilidades tienen más de una década.

FuenteARSTechnica

Share

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.