Arrancar nuestro ordenador y esperar que inicie el sistema operativo instalado es algo tan rutinario que pocos se paran a pensar en lo que sucede en los segundos iniciales. No obstante, mientras esperamos a que aparezca la pantalla de acceso en la que normalmente introducimos nuestras credenciales, en nuestro ordenador suceden acciones muy importantes controladas por la UEFI, y, si algún atacante puede explotar alguna vulnerabilidad en ese momento, este tipo de ataques pueden ser difíciles de detectar.
Vulnerabilidades en portátiles Lenovo
Investigadores de ESET han descubierto y reportado al fabricante Lenovo tres vulnerabilidades en el firmware de la UEFI de varios de sus modelos. Estas vulnerabilidades permitirían a un atacante deshabilitar el arranque seguro de la UEFI o la restauración a valores de fábrica de las bases de datos usadas en el arranque seguro.
Lenovo, por su parte, ha publicado actualizaciones para estas vulnerabilidades que afectarían a numerosos portátiles de su amplia gama, por lo que se recomienda encarecidamente aplicarlas a la mayor brevedad y así evitar posibles ataques. Entre los portátiles afectados se encuentran algunas de las gamas más conocidas de la compañía como Lenovo Yoga, IdeaPad y ThinkBox.
Tal y como sucedió en el descubrimiento de vulnerabilidades anteriores similares por parte de investigadores de ESET, los agujeros de seguridad descubiertos recientemente no estaban provocados por errores en el código. Los drivers afectados estaban pensados para ser utilizados solamente durante el proceso de fabricación y diseño de los portátiles, pero fueron incluidos por equivocación en la cadena de producción.
La explotación de estas vulnerabilidades puede realizarse simplemente creando variables especiales de NVRAM, tal y como explicó recientemente en una cadena de tweets el ingeniero especializado en seguridad en firmware Nikolaj Schlej.
Un problema que se agrava con el paso del tiempo
Si bien hasta hace algunos años las vulnerabilidades y los ataques a BIOS y UEFI eran algo excepcional, conforme pasa el tiempo vemos como los atacantes han empezado a aprovechar estos agujeros de seguridad para realizar sus acciones y tratar de conseguir persistencia y evitar ser detectados en los sistemas comprometidos.
Amenazas dirigidas a la UEFI como LoJax (el primer rootkit de UEFI, descubierto por investigadores de ESET mientras estaba activo), MosaicRegressor, MoonBounce, ESPecter o FinSpy son solo algunos de los ejemplos de amenazas dirigidas a la UEFI descubiertas durante los últimos años.
Esta reciente proliferación de amenazas podría significar que su desarrollo y despliegue podría no ser tan difícil como se pensaba originalmente, algo de lo que serían conscientes algunos de los atacantes y, más concretamente, aquellos que cuentan con recursos y están patrocinados por Estados nación para lanzar ataques selectivos contra objetivos bien definidos.
Debido a que existen muchas implementaciones de firmware de la UEFI diferentes, es frecuente que aparezcan vulnerabilidades de este tipo, incluso algunas de ellas podrían no haberse hecho públicas todavía y estar siendo aprovechadas por atacantes para sus acciones maliciosas.
Conclusión
Por estos motivos es importante mantener al día nuestra UEFI con la última versión disponible proporcionada por el fabricante. Además, también podemos contar con la ayuda de una solución de seguridad que sea capaz de analizar la UEFI en busca de posibles amenazas implementadas por los atacantes, evitando así que estos consigan sus objetivos.