Recientemente, un investigador de seguridad llamado Dmytro Oleksiuk ha
descubierto una vulnerabilidad de día cero en los sistemas UEFI de varios
fabricantes OEM de portátiles que puede llegar a permitir a un atacante
deshabilitar las medidas de seguridad de Windows para tomar el control completo
sobre el sistema.
El Unified Extensible Firmware Interface, también conocido como UEFI, es un pequeño software intermedio entre el firmware de un ordenador y el sistema operativo que nos permite realizar las configuraciones básicas del hardware y sirve de nexo entre el hardware y el sistema operativo. Los sistemas UEFI llegaron para sustituir a las clásicas BIOS desarrolladas por IBM y, de paso, aplicar unas medidas de seguridad adicionales (como es Secure Boot) a los ordenadores más modernos, sin embargo, la complejidad de un sistema UEFI, que casi son sistemas operativos completos, ha abierto la puerta a nuevos vectores de ataque por parte de piratas informáticos.Detalle de la vulnerabilidad
- Esta vulnerabilidad (o backdoor, según cómo se mire) reside en el módulo System Management Mode (SMM) y, para demostrar la peligrosidad de la vulnerabilidad, creó un simple exploit capaz de desactivar las medidas de seguridad contra escrituras no autorizadas del sistema UEFI de manera que el atacante podría ser capaz de modificar el firmware de cualquiera de los componentes del ordenador.
- Además, el exploit es capaz de desactivar también las funciones Secure Boot de Windows 10 y deshabilitar las capas de seguridad que habilita este sistema en Windows.
- El exploit, denominado por el investigador como ThinkPwn, se ejecuta desde el shell del sistema UEFI, y puede programarse para que se ejecute automáticamente en cada arranque. Además, el investigador asegura que su código podría modificarse fácilmente para funcionar en Windows, por lo que piratas informáticos podrían incluirlo en sus herramientas maliciosas a nivel de sistema operativo.
Los fabricantes estudian la vulnerabilidad del sistema UEFI para poder
solucionarla lo antes posible
Una prueba del exploit ha sido publicada en GitHub tras haber reportado el fallo a los principales fabricantes afectados. Lenovo, por ejemplo, asegura que su sistema UEFI es totalmente seguro, y que la vulnerabilidad se encuentra en el código IBV proporcionado por Intel para poder trabajar con sus procesadores y sus componentes.
La vulnerabilidad, en teoría, había sido solucionada por Intel en
2014, sin embargo, por alguna razón sigue habiendo varios portátiles, incluso
nuevos, afectados por ella. Lenovo no programó el código vulnerable, e Intel,
según aseguran, tampoco.
HP, otro de los fabricantes cuyos sistemas UEFI están afectados, por el momento no ha hecho declaraciones al respecto.
Por el momento, protegerse de esta vulnerabilidad es algo bastante
complicado ya que, a día de hoy, aún no tiene solución. La única recomendación
es que, ahora que es pública, extrememos las precauciones y, cuando veamos una
actualización del firmware de nuestro portátil, actualizarlo lo antes posible
para permanecer seguros, aunque por el momento no existe fecha para ello.
Fuente: Blog de Dmytro Oleksiuk
