Varios cientos de modelos de ordenadores con sistemas operativos Windows y Linux, de multitud de fabricantes de hardware, son vulnerables a un nuevo ataque de firmware. El ataque, al que ya se ha puesto el nombre de LogoFAIL, ejecuta un firmware malicioso durante la secuencia de arranque del equipo, lo que hace que una vez instalado la infección sea casi imposible de detectar o eliminar con mecanismos de defensa convencionales, como nos cuentan nuestros compañeros de MC.
Se trata de un ataque relevante no solo por la facilidad con la que se puede llevar a cabo, sino también por la gran cantidad de equipos afectados, tanto de consumo como destinados a empresa. También por el nivel de control que pueden conseguir los atacantes de los equipos infectados.
En muchos casos, LogoFAIL puede ejecutarse en remoto, en situaciones posteriores a un exploit, mediante técnicas indetectables para los productos de protección de endpoint convencionales. Dado que los exploits se ejecutan en las primeras etapas del inicio del sistema, pueden saltarse muchos sistemas de defensa.
LogoFAIL es un conjunto de más de dos docenas de vulnerabilidades que ya llevan varios años, y en algunos casos décadas, en Interfaces de firmware extensible unificado (UEFI), responsables del inicio de dispositivos con Windows o Linux. Su descubrimiento se debe al trabajo de la compañía Binarly, dedicada a la identificación y securización de firmware vulnerable.
Sus vulnerabilidades afectan a prácticamente todo el ecosistema de CPUs de arquitectura x64 y ARM. Entre ellos, a proveedores de UEFIs como AMI, Insyde y Phoenix; a fabricantes de ordenadores como Lenovo, Dell y HPE; y a los fabricantes de CPUs integradas en los equipos, tanto de Intel como de AMD o ARM. Todos los afectados están publicando recomendaciones con la lista de sus modelos afectados por LogoFAIL y las direcciones donde pueden conseguir parches de seguridad específicos para ellos.
Tal como sugiere su nombre, LogoFAIL está directamente relacionados con los logos que se ven al inicio de un sistema. En concreto con los del fabricante de hardware que aparecen en la pantalla en las primeras etapas del proceso de arranque del equipo, cuando todavía se está ejecutando su UEFI. Pues bien, los parsers de imagen en las UEFIs de los tres principales proveedores están afectados por alrededor de una docena de vulnerabilidades críticas que habían pasado desapercibidas hasta ahora.
Sustituyendo las imágenes legítimas de los logos con otras idénticas pero creadas específicamente para explotarlas, logoFAIL hace posible la ejecución de código malicioso en la etapa más sensible del proceso de arranque, conocida como Entorno de ejecución de drivers (DXE).
Una vez que se consigue ejecutar código de forma arbitraria en esa fase, adiós a la seguridad de la plataforma. Desde entonces, los atacantes tendrán el control completo de la memoria y el disco del dispositivo, incluyendo del sistema operativo que se utilice. Desde este momento, LogoFAIL puede hacer un segundo ataque que cargue un ejecutable en el disco antes siquiera de que se inicie el sistema operativo.
El ataque remoto que abre la puerta a que se explote LogoFAIL puede ejecutarse de diversas formas: explotando una vulnerabilidad no parcheada en un navegador o en otra app, utilizando el control administrativo logrado con un ataque para cambiar el logo, o conseguir acceso durante un breve espacio de tiempo a un dispositivo vulnerable mientras está desbloqueado y cambiar la imagen legítima con una dañina.
Este ataque no necesita acceso físico al dispositivo, ya que se puede llevar a cabo desde el sistema operativo, y rompe completamente cualquier relación entre él y el firmware. Además, las defensas modernas pensadas para funcionar «por debajo del sistema», como Secure Boot, no consiguen detener este ataque.
Debido a que las vulnerabilidades que explota LogoFAIL están en la UEFI, los equipos mac, los smartphones y otros dispositivos que utilizan sistemas de inicio alternativos no están afectados. No hay indicios de que las vulnerabilidades de LogoFAIL hayan sido explotadas de manera activa.
Para saber si el equipo está afectado hay que examinar el archivo con el logo que aparece en el arranque. Si el hash criptográfico de dicho archivo es distinto al del archivo que los fabricantes del dispositivo distribuyen gratuitamente, es aconsejable analizar su sistema para ver si hay más indicios de que la vulnerabilidad ha sido explotada. Para prevenirlo, lo mejor es instalar las actualizaciones de seguridad de la UEFI que están lanzando los fabricantes con equipos y sistemas afectados.
