Bugs Críticos de 'LogoFAIL' Ofrecen eludir el Inicio Seguro en Millones de PC

-

Cientos de modelos x86 y ARM de consumo y empresariales de diversos fabricantes, como Intel, Acer y Lenovo, son potencialmente vulnerables a bootkits y tomas de control.

Investigadores han descubierto "LogoFAIL", un conjunto de vulnerabilidades críticas presentes en el ecosistema de Unified Extensible Firmware Interface (UEFI) para PC.

La explotación de las vulnerabilidades anula medidas esenciales de seguridad de puntos finales y proporciona a los atacantes un control profundo sobre los sistemas afectados.

Las fallas se originan en las bibliotecas de análisis de imágenes dentro del proceso de inicio, afectando a todos los principales fabricantes de dispositivos en dispositivos basados en x86 y ARM, según un informe de Binarly Research que se lanzará oficialmente en Black Hat Europe en Londres la próxima semana.

La gravedad de LogoFAIL se ve exacerbada por su alcance generalizado, advierten los investigadores, señalando que afecta a todo el ecosistema, no solo a algunos fabricantes individuales aquí y allá. Los hallazgos se informaron a través del sistema CERT/CC VINCE, y se esperan parches de los fabricantes para el 6 de diciembre, junto con la charla de Black Hat, que se titula "LogoFAIL: Implicaciones de Seguridad de Análisis de Imágenes Durante el Sistema".

Secuestrando el Proceso de Inicio con LogoFAIL

Los investigadores de Binarly descubrieron que al incrustar imágenes comprometidas en la EFI System Partition (ESP) o secciones no firmadas de actualizaciones de firmware, los actores de amenazas pueden ejecutar código malicioso durante el inicio, lo que les permite secuestrar el proceso de inicio.

Esta explotación elude medidas de seguridad cruciales como Secure Boot e Intel Boot Guard, facilitando la inserción de un bootkit persistente de firmware que opera por debajo del nivel del sistema operativo.

"Debido a que el atacante está obteniendo la ejecución de código privilegiado en el firmware, está eludiendo las fronteras de seguridad por diseño, como un Secure Boot", explica Alex Matrosov, CEO y fundador de Binarly. "El Intel Boot Guard y otras tecnologías de arranque confiables no se extienden en tiempo de ejecución, y después de que se verifica el firmware, simplemente arranca más en el flujo de inicio del sistema".

Dice que el equipo de Binarly Research estaba experimentando originalmente con la modificación del logotipo en uno de los dispositivos Lenovo que tenían en el laboratorio.

"Un día, de repente comenzó a reiniciarse después de mostrar el logotipo de inicio", dice. "Nos dimos cuenta de que la causa raíz del problema era el cambio del logotipo original, lo que llevó a una investigación más profunda".

Añade: "En este caso, estamos tratando con una explotación continua con una imagen de logotipo de inicio modificada, desencadenando la entrega de la carga útil en tiempo de ejecución, donde ocurren todas las mediciones de integridad y seguridad antes de que se carguen los componentes del firmware".

No es el primer bypass de Secure Boot que se descubre; en noviembre de 2022, se encontró una falla de firmware en cinco modelos de portátiles Acer que se podía utilizar para desactivar Secure Boot y permitir que actores maliciosos cargaran malware; y las amenazas BlackLotus o BootHole han abierto la puerta al secuestro del proceso de inicio anteriormente. Sin embargo, Matrosov dice que LogoFAIL difiere de amenazas anteriores porque no rompe la integridad en tiempo de ejecución al modificar el cargador de arranque o el componente de firmware.

De hecho, dice que LogoFAIL es un ataque solo de datos, que ocurre cuando la entrada maliciosa proviene de la imagen de firmware o el logotipo se lee desde la partición ESP durante el proceso de inicio del sistema, y por lo tanto, es difícil de detectar.

"Este enfoque con el vector de ataque ESP no deja ninguna evidencia del ataque de firmware dentro del firmware en sí, ya que el logotipo proviene de una fuente externa", explica.

La Mayoría del Ecosistema de PC es Vulnerable

Los dispositivos equipados con firmware de los tres principales proveedores independientes de BIOS (IBV), Insyde, AMI y Phoenix, son susceptibles, lo que indica un impacto potencial en diversos tipos y arquitecturas de hardware. Entre ellos, los tres cubren el 95% del ecosistema de BIOS, dice Matrosov.

De hecho, Matrosov dice que LogoFAIL afecta a "la mayoría de los dispositivos en todo el mundo", incluyendo PC de consumo y empresariales de varios fabricantes, como Acer, Gigabyte, HP, Intel, Lenovo, MSI, Samsung, Supermicro, Fujitsu y "muchos otros".

"La lista exacta de dispositivos afectados aún se está determinando, pero es crucial tener en cuenta que los tres principales IBV: AMI, Insyde y Phoenix, se ven afectados debido a múltiples problemas de seguridad relacionados con los analizadores de imágenes que están enviando como parte de su firmware", advirtió el informe de Binarly. "Estimamos que LogoFAIL afecta a casi cualquier dispositivo alimentado por estos proveedores de alguna manera".

Phoenix Technologies, por su parte, publicó una notificación de seguridad temprana esta semana (ahora retirada pero disponible en caché hasta que vuelva a estar disponible el 6 de diciembre) detallando que el error (CVE-2023-5058) está presente en todas las versiones inferiores a 1.0.5 de su Phoenix SecureCore Technology 4, que es un firmware BIOS que proporciona funciones de seguridad avanzadas para varios dispositivos.

"La falla existe en el procesamiento de la pantalla de presentación proporcionada por el usuario durante el inicio del sistema, que puede ser explotada por un atacante que tiene acceso físico al dispositivo", según la notificación, que señaló que hay disponible una versión actualizada. "Al proporcionar una pantalla de presentación maliciosa, el atacante puede causar un ataque de denegación de servicio o ejecutar código arbitrario en la fase UEFI DXE, eludiendo el mecanismo de Secure Boot y comprometiendo la integridad del sistema".

Insyde también rastrea a LogoFAIL como CVE-2023-40238, y AMI como CVE-2023-39539 y CVE-2023-39538.

Matrosov dice que la empresa está colaborando activamente con varios fabricantes de dispositivos para coordinar los esfuerzos de divulgación y mitigación en todo el espectro.

Actualizaciones de Firmware Clave para Minimizar el Riesgo

Para minimizar el riesgo de firmware en general, los usuarios deben mantenerse actualizados con los avisos del fabricante y aplicar rápidamente las actualizaciones de firmware, ya que a menudo abordan fallas críticas de seguridad.

Además, la verificación de proveedores es fundamental. "Sea exigente con los proveedores de dispositivos en los que confía diariamente como dispositivo personal o dispositivos en su infraestructura empresarial", agrega Matrosov. "No confíe ciegamente en los proveedores, sino valide las promesas de seguridad del proveedor e identifique las brechas en su inventario de dispositivos y más allá".


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó un LLM, al ser una traducción automática puede contener errores gramaticales o de otro tipo, me pueden enviar un mensaje.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Falsos sitios de DocuSign y Gitcode propagan NetSupport RAT mediante ataque PowerShell en múltiples etapas

-
Imagen
Cazadores de amenazas están alertando sobre una nueva campaña que utiliza sitios web falsos para engañar a usuarios desprevenidos y hacer que ejecuten scripts maliciosos de PowerShell en sus máquinas, infectándolas con el malware NetSupport RAT. El equipo de Investigaciones de DomainTools (DTI) informó que identificó “scripts PowerShell maliciosos en múltiples etapas” alojados en sitios trampa que se hacen pasar por Gitcode y DocuSign. “Estos sitios intentan engañar a los usuarios para que copien y ejecuten un script inicial de PowerShell desde el comando ‘Ejecutar’ de Windows”, indicó la empresa en un informe técnico compartido con The Hacker News. “Al hacerlo, el script de PowerShell descarga otro script que actúa como descargador y lo ejecuta en el sistema, lo que a su vez recupera cargas útiles adicionales y las ejecuta, instalando finalmente NetSupport RAT en las máquinas infectadas.” Ciberseguridad Se cree que estos sitios falsos se propagan mediante tácticas de ingeniería so...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más

El FBI advierte sobre suplantación de correo electrónico por parte del actor de amenazas norcoreano Kimsuky

-
Imagen
El actor de amenazas norcoreano Kimsuky está aprovechando nuevas tácticas de suplantación de correo electrónico en sus recientes campañas de spearphishing, advirtieron conjuntamente el Buró Federal de Investigaciones (FBI), el Departamento de Estado de EE. UU. y la Agencia de Seguridad Nacional (NSA) el jueves en un aviso conjunto . Kimsuky, también conocido como Emerald Sleet o APT43, es una subunidad de la Oficina General de Reconocimiento (RGB) del ejército norcoreano y es conocido por sus campañas de spearphishing destinadas a recopilar inteligencia sobre asuntos que afectan los intereses norcoreanos. Esto incluye información sobre eventos geopolíticos y las estrategias de política exterior de los adversarios de Corea del Norte. El modus operandi del grupo es hacerse pasar por periodistas legítimos, grupos de expertos, académicos y otros expertos en asuntos del este asiático, convenciendo a las víctimas de abrir enlaces o documentos maliciosos bajo el pretexto de ofrecer una entrev...
Leer más