Noticias

Aug 17, 2023

CISA: Cuidado con el gestor de arranque malicioso

ACTUALIZADO 11:55 EDT / 7 DE AGOSTO DE 2023 por David Strom La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. ha emitido un llamado a la acción para reforzar la seguridad de una pieza poco conocida pero importante de

ACTUALIZADO 11:55 EDT / 07 DE AGOSTO DE 2023

por David Strom

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. ha emitido un llamado a la acción para reforzar la seguridad de un software poco conocido pero importante que se puede encontrar en todas las computadoras.

Llamada Interfaz de firmware extensible unificada o UEFI, se ejecuta en el momento del arranque y controla el funcionamiento de la computadora, carga controladores de dispositivos y controles de interfaz de administración de energía y otras interfaces de aplicaciones. CISA dijo el 3 de agosto que le preocupa que muchos atacantes se hayan centrado en la UEFI para comprometer un sistema e insertar malware para controlar sus operaciones y evitar la detección.

Un ejemplo de esto son los exploits BlackLotus, que fueron documentados más recientemente por Microsoft Security en abril y por la Agencia de Seguridad Nacional de EE. UU. en mayo. El documento incluía formas de identificar pistas de que un malware basado en UEFI está presente, como una fecha reciente del archivo del cargador de arranque o una entrada de registro, claves modificadas del Registro de Windows (que se muestran a continuación) o un comportamiento particular de la red.

Estos ataques basados ​​en UEFI son más insidiosos porque pueden activar o desactivar todo tipo de mecanismos de seguridad del sistema operativo antes de que el sistema operativo los cargue. Para colmo, UEFI se encuentra ahora en cientos de millones de computadoras.

La advertencia de CISA fue algo pesimista, diciendo que los investigadores y desarrolladores de ciberseguridad “todavía están en modo de aprendizaje” sobre cómo responder a los ataques UEFI y cómo proteger mejor este software en particular. "UEFI es el estándar de software dominante para gestionar la maquinaria informática física de la que depende todo lo demás", dice en su entrada de blog. Y su compromiso sigue siendo un problema.

El malware UEFI también es un problema porque puede persistir después de reiniciar el sistema, reinstalar el sistema operativo o incluso reemplazar un componente físico particular de la computadora. Por ejemplo, BlackLotus coloca un cargador de arranque de Windows más antiguo, desactiva la función de integridad de la memoria, desactiva BitLocker y revierte un parche de seguridad reciente a una versión más vulnerable.

Hay muchas cosas malas que tratar de remediar, lo cual es una de las razones por las que CISA recomienda destruir cualquier PC infectada en lugar de repararla. También es una de las razones por las que los ataques UEFI son objetivos preciados: un atacante puede ganar sigilo y operar durante largos períodos de tiempo sin tener que preocuparse por reiniciar el sistema o aplicar un parche.

A lo largo de los años, los desarrolladores de UEFI han desarrollado medidas defensivas para frustrar las infecciones de malware, y la publicación del blog de CISA menciona dos: utilizar principios de seguridad por diseño y emplear medidas de respuesta a incidentes más maduras. Sin embargo, estos no se implementan universalmente.

El desarrollador de UEFI, AMI, propuso una forma de evitar esta reversión de parches mencionada anteriormente el otoño pasado, pero su implementación es irregular. También existen arquitecturas de chips de referencia que incluyen esquemas rigurosos de administración de memoria, pero los investigadores afirman que estos esquemas aún deben investigarse y verificarse. Hay otros esfuerzos para establecer enclaves de hardware seguros, pero ninguno de estos esfuerzos extiende la seguridad a los procesos UEFI de manera significativa.

Parte del problema es que la cadena de suministro UEFI es una red compleja de desarrolladores y dependencias. Una PC típica puede tener más de 50 módulos UEFI diferentes y cientos de controladores de dispositivos provenientes de docenas de proveedores de software que tienen su propia colección de desarrolladores diferentes.

Toda esta complejidad hace que sea difícil rastrear las versiones actuales del software y determinar si algo ha sido comprometido por malos actores. Para empeorar las cosas, algunas partes de la UEFI "también se espera que acepten entradas no confiables del usuario o de la red".

Las pautas de Microsoft y la NSA tienen recomendaciones sobre cómo las empresas pueden protegerse mejor, incluida la actualización de todos los medios de recuperación de Windows y la actualización de varios parches del sistema operativo. Y Vijay Sarvepalli del Instituto de Ingeniería de Software de la Universidad Carnegie Mellon ha escrito un artículo que describe el problema UEFI en detalle junto con una larga lista de mejoras en los procesos de seguridad y desarrolladores.

GRACIAS

CISA: Cuidado con el gestor de arranque malicioso

En theCUBE Pod: la nueva IA de Amazon, el auge de la supernube y reflexiones sobre el equilibrio entre la vida laboral y personal

La IA como la próxima plataforma informática

El FBI investiga un ataque de ransomware a un proveedor de atención médica con sede en California

Juez federal reduce el alcance de la demanda antimonopolio de Google presentada por el Departamento de Justicia y los estados

Lanzando acciones tecnológicas más allá de los Siete Magníficos

CISA: Cuidado con el gestor de arranque malicioso

SEGURIDAD - POR DAVID STROM . HACE 1 MIN

En theCUBE Pod: la nueva IA de Amazon, el auge de la supernube y reflexiones sobre el equilibrio entre la vida laboral y personal

NUBE - POR RYAN STEVENS. 1 HORA ANTES

La IA como la próxima plataforma informática

AI - POR AUTOR INVITADO . HACE 2 HORAS

El FBI investiga un ataque de ransomware a un proveedor de atención médica con sede en California

SEGURIDAD - POR DUNCAN RILEY. HACE 16 HORAS

Juez federal reduce el alcance de la demanda antimonopolio de Google presentada por el Departamento de Justicia y los estados

POLÍTICA - POR MIKE WHEATLEY. HACE 16 HORAS

Lanzando acciones tecnológicas más allá de los Siete Magníficos

NUBE - POR DAVE VELLANTE . HACE 2 DÍAS