Un exploit en el UEFI permite desactivar medidas de seguridad en algunos portátiles

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

Un investigador de software ruso llamado Dmytro Oleksiuk ha descubierto una vulnerabilidad que afecta a varios modelos de varias marcas de portátiles. Este tipo de vulnerabilidades se conocen como de día cero, y de momento no tiene ninguna solución por parte de los fabricantes. Además, el exploit es público, y cualquiera podría utilizarlo.

Esta vulnerabilidad consiste en que el código malicioso puede desactivar las medidas de seguridad de Windows en el inicio, ya que este fallo se encuentra dentro del UEFI, el cual se carga cuando se enciende el ordenador, y antes de que cargue el sistema operativo. Además, Oleksiuk afirma que el código podría ser modificado para que también funcionara a nivel de sistema operativo, pudiendo ser implementado junto con otro código malicioso.

El fallo se encuentra en el código fuente del System Management Mode, que se encuentra dentro de los paquetes del firmware UEFI. El hacker, además de hacer público el código fuente, lo compiló en un archivo .efi ejecutable para poder probarlo, con el objetivo de desactivar la protección de escritura del UEFI, y alterar finalmente el firmware del dispositivo.

thinkpwn vulnerabilidad compilada

Gracias a esta vulnerabilidad, se puede desactivar el UEFI Secure Boot, el Virtual Secure Mode, y la protección de credenciales de Windows 10 Enterprise.

Este fallo ha sido descubierto en portátiles de Lenovo, y se sabe que afecta a portátiles de HP y a la gran mayoría de fabricantes de portátiles, pues todas usan el mismo código IBV de Intel dentro de sus firmware UEFI. No sólo afecta a portátiles, sino que afecta también a una gran variedad de modelos de placas base de ordenadores de sobremesa compatibles con procesadores Sandy Bridge a Broadwell, como los modelos de Gigabyte Z68-UD3H, Z87MX-D3H y Z97-D3H.

Lenovo ha confirmado en su web que el fallo no se debe a un fallo de ellos ni de sus ingenieros, sino que es parte del código IBV que entrega Intel, el cual va dentro del BIOS y el UEFI.

 uefi-firmware-thinkpwn-zero-day-puts-several-laptop-oems-at-risk

Intel, por su parte, ha dicho que este fallo ya fue arreglado en 2014, por lo que el código distribuido a los fabricantes que incluía esta vulnerabilidad parece algo antiguo, y es de esperar que en el futuro este sea arreglado sin mayor inconveniente, ya sea mediante actualización, o mediante el lanzamiento de nuevos productos. Actualmente, de entre todas las marcas afectadas, Lenovo ha sido la única que ha hecho público que se encuentra en plena investigación del asunto, trabajando conjuntamente con Intel, y afirman que ofrecerán una solución que elimine este fallo pronto.

Queda la duda de si este fallo es un backdoor implementado en el UEFI, o si realmente es un fallo de seguridad como tal. Aun así, es muy probable que esto no acabe afectando al usuario común. Pero la vulnerabilidad existe, y es explotable.

Fuente:http://www.adslzone.net/

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone