Investigadores descubrieron una vulnerabilidad que afecta a casi todas las computadoras y permite ataques de firmware imposibles de detectar o eliminar. Se centra en la carga de una imagen modificada de forma intencional que, al ser analizada en los primeros pasos del booteo, ejecuta código malicioso.
En este Informe USERS conocerás todos sus detalles.
Autor: Claudio Bottini
LogoFail
LogoFAIL se presenta como un problema de seguridad grave, que afecta a una gran cantidad de firmware de sistemas en ejecución en la actualidad.
LogoFAIL es un desarrollo que se enmarca dentro de los denominados “ataques de firmware”, los cuales permiten la ejecución de código malicioso en las primeras etapas de la secuencia de arranque de las PC
Este tipo de ataques son conocidos y preocupantes en el ámbito de la ciberseguridad ya que, una vez introducidos, son difíciles de detectar o, incluso, imposibles de eliminar, utilizando los mecanismos de defensa actuales. Además, persisten aunque se reinstale por completo el sistema operativo, ya que se alojan en las particiones usadas por este en el disco duro.
Las características del ataque
Las computadoras que ejecutan Windows o Linux son vulnerables a este nuevo tipo de ataque de firmware llamado LogoFAIL. El ataque ha demostrado ser extremadamente efectivo porque reescribe el logotipo que aparece cuando el sistema arranca de forma exitosa (de ahí el nombre, LogoFAIL), que es lo suficientemente temprano como para poder eludir las medidas de seguridad diseñadas para prevenir ataques de bootkit.
Debido a la forma en que LogoFAIL sobrescribe el logotipo de inicio en UEFI, el exploit se puede ejecutar en cualquier plataforma utilizando Intel, AMD o ARM que ejecute cualquier sistema operativo Windows o kernel de Linux.
El ataque se destaca por la relativa facilidad para llevarlo a cabo, la amplitud de modelos tanto hogareños como empresariales (decenas de millones de PC) que son susceptibles y el alto nivel de control que se obtiene sobre ellos.
En muchos casos, LogoFAIL se puede ejecutar de forma remota en situaciones posteriores a la ejecución del exploit, utilizando técnicas que los productos tradicionales de seguridad de terminales no pueden detectar.
Un exploit es un software, un fragmento de datos o una secuencia de comandos (generalmente esto último) que aprovecha un error o una vulnerabilidad de una aplicación o sistema para provocar un comportamiento involuntario o imprevisto. Su nombre deriva del verbo inglés to exploit, que significa ‘usar algo en beneficio propio’. Básicamente, es “explotar” una vulnerabilidad o falla existente para llevar a cabo una acción maliciosa.
Debido a que los exploits se ejecutan durante las primeras etapas del proceso de arranque, pueden eludir las defensas, incluyendo el Secure Boot propuesto por Microsoft, que se ha extendido como medida para prevenir los bootkits, pero que no funciona en este ataque que comprende dos docenas de vulnerabilidades en analizadores de imágenes dentro de UEFI, lo que afecta a casi todos los ecosistemas de CPU x86 y ARM.
Lo preocupante es que estas vulnerabilidades hayan pasado desapercibidas durante años, incluso décadas, y son el resultado de una extensa investigación realizada por Binarly (https://binarly.io/), una empresa de seguridad especializada en identificar y proteger el firmware vulnerable.
LogoFAIL apunta a los logotipos que se muestran en la pantalla del dispositivo durante el proceso de inicio temprano, explotando las vulnerabilidades en los analizadores de imágenes que los “dibujan” en pantalla, para reemplazar logotipos legítimos con archivos infectados.
Esta manipulación permite la ejecución de código arbitrario durante la fase del entorno de ejecución del controlador (DXE) y compromete la seguridad de la plataforma.
Las vulnerabilidades en los sistemas UEFI están dadas principalmente por la gran cantidad de terceros que participan en la creación del código usado en el cargador inicial, cuando los dispositivos están en la base de booteo.
Aprende más sobre LogoFail, leyendo la edición completa de este informe en RedUSERS PREMIUM
También te puede interesar:
COMO CIFRAR EL TRAFICO EN LA WEB
El cifrado es fundamental para permanecer seguros en la Web. Muchos usuarios no conocen de qué se trata este tema pero deberían saberlo, porque cifrar los datos que circulan por la conexión a Internet es una medida de seguridad imprescindible. En este Informe USERS analizaremos diferentes formas de cifrar y proteger.
Cada mes, lanzamos 2 ebooks USERS, en ellos tratamos en profundidad el tema abordado. En cada ebook, nuestros EXPERTOS vuelcan todos sus conocimientos con el objetivo de brindar una experiencia de capacitación satisfactoria para nuestros lectores.
Lee lo que quieras, donde vayas, por una mínima cuota mensual: SUSCRIBETE!
