Cientos de modelos de computadoras, abarcando prácticamente todos los fabricantes de hardware, como Acer, Dell, Framework, Fujitsu, Gigabyte y HP entre otros, enfrentan una reciente amenaza de ciberseguridad identificada por Binarly, una destacada empresa de investigación en este ámbito.
Millones de dispositivos en peligro
Este riesgo afecta a decenas de millones de dispositivos en uso en oficinas y hogares.
La vulnerabilidad en cuestión ha persistido durante años en las UEFI (Interfaces de Firmware Extensible Unificada), el firmware estándar que facilita el arranque de cualquier PC antes de que el sistema operativo tome el control.
Hace poco más de una década, las UEFI reemplazaron a las BIOS, aunque aún es común referirse a ellas con este último término. La dimensión de la amenaza destaca la necesidad crítica de abordar esta vulnerabilidad que afecta a un amplio espectro de dispositivos informáticos.
Bautizado como LogoFAIL
El incidente se conoce como ‘LogoFAIL’, una denominación que refleja su capacidad para ser ejecutado mediante la manipulación del proceso de actualización de firmware. Este ataque sustituye el logotipo legítimo del firmware, aquel que se muestra durante el arranque del sistema.
Además, existe la posibilidad de llevar a cabo ataques físicos si el logotipo carece de la protección proporcionada por tecnologías de arranque verificadas por hardware. En este contexto, la seguridad del logotipo se convierte en un elemento crucial para salvaguardar la integridad del sistema.
Específicamente, este ataque capitaliza vulnerabilidades en los analizadores de imágenes empleados por el firmware UEFI para la presentación de logotipos, tanto en la fase de arranque como en la configuración del BIOS.
Al aprovechar estas vulnerabilidades, los agresores pueden ganar control total sobre el sistema, burlando así medidas de seguridad cruciales como el Secure Boot, que cabe recordar, es uno de los controvertidos requisitos de hardware de Windows 11.
Reinstalar el SO no resuelve el problema
LogoFAIL permite la ejecución de código malicioso en la fase más crítica del proceso de inicio, conocida como DXE (Driver Execution Environment). A partir de esta fase, los atacantes pueden asumir el control completo de la memoria y el disco del dispositivo, incluyendo el sistema operativo.
Lo más alarmante radica en que este ataque desencadena una segunda infección que implanta un bootkit en el dispositivo, lo que implica que la infección persistirá incluso si se reinstala el sistema operativo principal o se sustituye el disco duro.
Este patrón ya se observó hace cinco años con un malware anterior que afectaba a las UEFIs. La vulnerabilidad no afecta a todos los PCs modernos, y ya se están implementando los parches.
No todos los fabricantes han sido afectados
Afortunadamente, no todos los dispositivos son susceptibles a LogoFAIL. Algunos fabricantes, como Dell, resguardan sus logotipos mediante Intel Boot Guard, impidiendo su sustitución incluso en situaciones de acceso físico al dispositivo.
La forma más efectiva de prevenir los ataques de LogoFAIL es instalar las actualizaciones de seguridad de UEFI que están siendo desplegadas como parte de una estrategia coordinada entre Binarly y los fabricantes de equipos y placas base.
Los investigadores han optado por divulgar la vulnerabilidad únicamente después de que estos últimos hayan lanzado los parches necesarios.
