Los usuarios de Windows y Linux tienen poco tiempo para actualizar las claves criptográficas que protegen sus sistemas contra las infecciones UEFI basadas en firmware, una forma perniciosa de malware que se carga antes de que se activen las protecciones del sistema operativo y del antivirus.
A partir del 24 de junio, caducarán tres certificados que verifican criptográficamente cada componente de firmware y software que se carga durante el arranque del sistema. Estos certificados firmados por Microsoft son la clave de Secure Boot, una cadena de confianza diseñada por Microsoft. Secure Boot comprueba las firmas digitales de todo el firmware que se carga durante el inicio del sistema para garantizar que provenga de un proveedor de confianza, como el fabricante de la placa base.
El arranque seguro está diseñado para frustrar los bootkits UEFI, un tipo de malware que altera la Interfaz Unificada de Firmware Extensible (UEFI), sucesora de la BIOS, ambas componentes que inician la secuencia de arranque. Dado que estos bootkits se cargan antes que el sistema operativo y la mayoría del código, pueden ser difíciles de detectar. Una vez instalados, suelen cargar malware en el sistema operativo que roba credenciales, crea puertas traseras o realiza otras acciones maliciosas. Incluso después de desinfectar el sistema operativo, el bootkit puede reinfectarlo. Los bootkits también sobreviven a las reinstalaciones del sistema operativo.
Breve historia de los kits de arranque
El origen de los bootkits se remonta a principios de la década de 1980 con la creación de varios programas maliciosos que atacaban a las máquinas Apple II durante el proceso de arranque. Estos se propagaron a través de disquetes que supuestamente contenían juegos pirateados.
Los bootkits de Windows cobraron relevancia a principios de la década de 2000 como pruebas de concepto desarrolladas por investigadores de seguridad ofensiva. BootRoot, un bootkit presentado en la conferencia de seguridad Black Hat de 2005, es probablemente el primer ejemplo de este tipo. El malware infectaba la interfaz del controlador de red (DNI), que optimizaba las comunicaciones entre los controladores de protocolos de red, habilitando servicios como los controladores de adaptadores de red TCP/IP. En los años siguientes, surgieron otras pruebas de concepto similares, como Vbootkit , Stoned Bootkit y Mebroot. Hubo muchas más.
En 2012, se demostró una nueva forma de bootkit. En lugar de atacar las máquinas a través de la BIOS o el registro de arranque maestro, uno de estos bootkits atacaba los sistemas Mac OS X infectando el EFI, un paquete de firmware que iniciaba el proceso de arranque. Un segundo bootkit muy primitivo atacaba las máquinas Windows 8 infectando el bootkit UEFI, el predecesor de UEFI. Alrededor de 2013, un investigador demostró un bootkit UEFI más avanzado para Windows llamado Dreamboat.
El primer caso conocido de un ataque real dirigido a la UEFI se produjo en 2018 con el descubrimiento del malware denominado LoJax . Esta versión modificada del software antirrobo legítimo conocido como LoJack fue creada por el grupo de hackers respaldado por el Kremlin, conocido con nombres como Sednit, Fancy Bear y APT 28. El malware se instaló de forma remota mediante herramientas que pueden leer y sobrescribir partes de la memoria flash del firmware UEFI.
En 2020, los investigadores descubrieron el segundo caso conocido de malware real que atacaba la UEFI. Cada vez que un dispositivo infectado se reiniciaba, su UEFI comprobaba si había un archivo malicioso en la carpeta de inicio de Windows y, de no ser así, lo instalaba. Los investigadores de Kaspersky, el proveedor de seguridad que descubrió el malware, lo denominaron «MosaicRegressor». Aún no se ha determinado cómo se infectaron las UEFI comprometidas. Desde entonces, han aparecido varios bootkits nuevos para UEFI, conocidos con nombres como ESpecter, FinSpy y MoonBounce.
La necesidad es la madre de la invención
Ante la amenaza cada vez más grave de los bootkits UEFI, Microsoft colaboró con los fabricantes de dispositivos para desarrollar Secure Boot, un estándar industrial que utiliza firmas criptográficas para garantizar que cada firmware cargado durante el arranque sea de confianza para el fabricante del equipo. Secure Boot está diseñado para crear una cadena de confianza que impide a los atacantes reemplazar el firmware de arranque original con firmware malicioso. Si un solo eslabón de la cadena de arranque no se reconoce, Secure Boot impedirá que el dispositivo se inicie.
En 2023, los investigadores descubrieron LogoFail, una serie de vulnerabilidades críticas presentes en las UEFI que inician prácticamente todos los sistemas Windows y Linux del mundo. Un fallo en el análisis de imágenes del software que mostraba los logotipos de los fabricantes de hardware durante el arranque permitía a los atacantes eludir el arranque seguro e infectar la UEFI con firmware malicioso.
