Los métodos de actualización de firmwares permiten atacar sistemas UEFI

Escrito por Adrián Crespo

UEFI gana terreno a BIOS, mucho más rápido de lo que creemos. Sin embargo, parece que la seguridad no es del todo adecuada. Expertos de una empresas de seguridad han detectado que los firmware UEFI de algunas placas no se actualizan de forma segura. Esto quiere decir que el equipo podría ser vulnerable a ataques. Estos podrían producirse de forma totalmente remota y sin tener contacto físico con el equipo.

Mantener actualizado este software es fundamental. Las funciones existentes son mayores y permiten modificar muchos aspectos del equipo, sobre todo a nivel de hardware. Por este motivo, contar con la última versión del firmware UEFI es fundamental. De esta forma nos aseguramos de tener las últimas novedades en lo que se refiere a resolución de problemas. Sin embargo, parece que este proceso no es del todo seguro. Es decir, no se encuentra correctamente implementado en los firmwares de algunos fabricantes.

Este software ha evolucionado tanto que no se requiere de la atención del usuario para el proceso de actualización. El propio software es capaz de realizar la comprobación, descarga de la versión existente y realizar la instalación en el siguiente reinicio o encendido del sistema.

La clave está en el sistema de actualización

Tal y como han indicado los expertos en seguridad de la compañía Eclypsium, el problema reside en el sistema de actualización de la versión de firmware. Indican que las peticiones se realizan a un servidor remoto, algo que parece lógico. Sin embargo, el problema se encuentra en cómo viaja la información entre los extremos. Es decir, entre el equipo que ha solicitado la actualización o comprobar la existencia de nuevas versiones y el servidor del fabricante.

Es decir, se trata de una petición HTTP que viaja sin ningún tipo de cifrado. O lo que es lo mismo, carece de una mínima protección SSL. Esto puede dar lugar a la realización de ataques MitM (en inglés, Man in the Middle). Este ataque podría provocar el robo de la información que viaja entre los dos extremos. O lo que es lo mismo, interceptar la comunicación y suplantar la identidad del servidor remoto.

¿Qué consecuencias podrían existir? La principal sería la instalación de software ilegítimo. Al sistema de actualización que reside en UEFI, no distingue de si se trata una fuente legítima. Por este motivo, descarga la información de acuerdo al intercambio de paquetes HTTP realizado.

Cómo puedo protegerme mi equipo con firmware UEFI

Sí has leído el artículo, te preguntarás si es posible solucionar o al menos paliar los efectos de este fallo de seguridad. Fabricante como ASUS y ASRock han tomado medidas. Para ser más precisos, han desactivado temporalmente esta función de sus UEFI. Como indicado en el caso del segundo fabricante, la idea es reactivar esta función pero con un sistema mejorado y con una seguridad mayor.

En el caso del resto de fabricantes, la medida a tomar sería desactivar las actualizaciones automáticas de este software.

Este fallo no solo permite a los ciberdelincuentes instalar software de forma no autorizada en el equipo. El problema es mucho mayor, pudiendo incluso tomar el control del sistema sin que el usuario sea consciente de qué está sucediendo.

Fuente > ThreadPost