LogoFAIL: vulnerabilidades críticas de UEFI

Los investigadores de Binarly, dieron a conocer la noticia de que se ha descubierto una nueva vulnerabilidad que tiene como objetivo las interfaces de firmware extensibles unificadas (UEFI) responsables del inicio de dispositivos modernos que ejecutan Windows o Linux.

Bautizada como «LogoFAIL», esta vulnerabilidad explota los fallos que han estado presentes durante años en los analizadores de imágenes UEFI, lo que permite que se ejecute código malicioso en las primeras etapas del proceso de arranque, comprometiendo así la seguridad de la plataforma.

Se menciona que todos los dispositivos Windows y Linux supuestamente son vulnerables al nuevo ataque de firmware LogoFAIL que afectan a una amplia gama de modelos de computadoras de varios fabricantes. El ataque destaca por su facilidad de ejecución, su impacto en modelos de consumo y profesionales, así como su alto nivel de control sobre los dispositivos infectados. LogoFAIL se puede ejecutar de forma remota, evitando los mecanismos de defensa tradicionales y comprometiendo la seguridad de la plataforma en las primeras etapas del proceso de arranque.

Sobre LogoFAIL

LogoFAIL se centra en los logotipos, especialmente los de proveedores de hardware, que se muestran en la pantalla al comienzo del proceso de arranque mientras UEFI aún se está ejecutando. Los analizadores de imágenes integrados en las UEFI de los tres principales IBV presentan una decena de vulnerabilidades críticas que hasta ahora han pasado desapercibidas. Al sustituir imágenes de logotipos legítimos por versiones diseñadas específicamente para explotar estas vulnerabilidades, LogoFAIL permite la ejecución de código malicioso en una etapa de inicio crucial conocida como DXE, (Driver Execution Environment. ).

Los investigadores de Binarly, explicaron en un documento técnico que tan pronto como se lleva a cabo la ejecución de código arbitrario durante la fase DXE, la seguridad de la plataforma se ve comprometida. A partir de este punto se obtiene el control total sobre la memoria, el disco e incluso el sistema operativo del dispositivo objetivo que se ejecutará. Después de esto, LogoFAIL puede entregar una carga útil de segunda etapa, colocando un ejecutable en el disco duro incluso antes de que se inicie el sistema operativo principal.

Con la finalidad de mostrar la vulnerabilidad, se presentó una demostración de esta explotación a través de un vídeo ilustrativo elaborado por los investigadores. Las vulnerabilidades son objeto de una divulgación coordinada masiva, publicada el miércoles, que involucra la participación de empresas que representan casi todo el ecosistema de procesadores x64 y ARM.

Para pasar los controles de seguridad, la herramienta instala el mismo firmware UEFI firmado criptográficamente que ya está en uso, modificando solo la imagen del logotipo, que no requiere una firma digital válida. En muchos casos, la herramienta IBV está firmada digitalmente, lo que reduce el riesgo de que intervengan protecciones de terminales.

En el documento técnico que acompaña a la presentación, los investigadores describieron las etapas de un ataque LogoFAIL de la siguiente manera:

“Como se demuestra en la imagen anterior, un ataque LogoFAIL se puede dividir en tres fases distintas. Primero, el atacante prepara una imagen de logotipo malicioso que almacena en el ESP o en una sección sin firmar de una actualización de firmware. Luego reinicia el dispositivo.

Durante el proceso de arranque, el firmware vulnerable carga el logotipo malicioso del ESP y lo analiza utilizando un analizador de imágenes vulnerables. Esto permite al atacante secuestrar el flujo de ejecución explotando una falla en el propio analizador. Al aprovechar esta amenaza, el atacante puede ejecutar código arbitrario durante la fase DXE, lo que equivale a comprometer completamente la seguridad de la plataforma. »

El nivel de peligro de LogoFAIL se debe a su potencial de infección remota y su capacidad para eludir los mecanismos de defensa tradicionales acentúan los riesgos involucrados. El alto nivel de control sobre los dispositivos infectados genera preocupación sobre la persistencia y detección de esta amenaza, incluso después de que se implementen parches de seguridad.

Por ultimo, se menciona que es importante que los fabricantes de computadoras, los desarrolladores de firmware y los proveedores de seguridad trabajen juntos rápidamente para desarrollar parches para contrarrestar esta amenaza. La magnitud de esta vulnerabilidad también resalta la importancia de fortalecer la seguridad del proceso de arranque y reevaluar los mecanismos de defensa existentes para garantizar una protección efectiva contra ataques tan sofisticados.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.