La hora es marcó para que los usuarios de Windows y Linux actualicen las claves criptográficas que protegen sus sistemas de infecciones UEFI basadas en firmware, una forma peligrosa de malware que se carga antes de que se active el sistema operativo y la protección antimalware.
A partir del 24 de junio, caducan tres certificados que verifican criptográficamente que cualquier firmware y software cargado durante el arranque del sistema. Los certificados firmados por Microsoft son la clave para el arranque seguro, una cadena de confianza diseñada por Microsoft. Secure Boot verifica la firma digital de todo el firmware cargado durante el inicio del sistema para garantizar que provenga de un proveedor confiable, como el fabricante de la placa base en la que se ejecuta el sistema.
Secure Boot está diseñado para frustrar los kits de arranque UEFI, una forma de malware que modifica la Interfaz de firmware extensible unificada, la sucesora del BIOS, los cuales inician la secuencia de arranque inicial. Debido a que estos bootkits se cargan antes que el sistema operativo y la mayoría del resto del código, pueden ser difíciles de detectar. Una vez instalados, normalmente cargan malware en el sistema operativo que roba credenciales, crea puertas traseras en el sistema o realiza otras acciones maliciosas. Incluso cuando se desinfecta el sistema operativo, los bootkits pueden reinfectar el sistema. Los bootkits también pueden sobrevivir a las reinstalaciones del sistema operativo.
Una breve historia de los kits de arranque
Los orígenes de los bootkits comienzan a principios de la década de 1980 con la creación de algún malware que apunta a máquinas Apple II durante el proceso de arranque. Se propagaban de forma natural a través de disquetes que supuestamente contenían juegos pirateados.
Los bootkits de Windows llamaron la atención a principios de la década de 2000 como prueba de concepto desarrollado por investigadores de seguridad ofensiva. BootRoot, un kit de arranque demostrado en la conferencia de seguridad Black Hat en 2005, probablemente el primero de este tipo. El malware infecta la interfaz del controlador de red, que simplifica la comunicación entre los controladores de protocolo de red que habilitan servicios como los controladores de adaptadores de red TCP/IP. En los años siguientes, se incluyeron PoC similares. VbootkitEso Kit de botas apedreadoY mebrot. Muchos más.
En 2012, se demostró una nueva forma de bootkit. En lugar de apuntar a la máquina a través del BIOS o el registro de arranque maestro, Uno El kit de arranque ataca los sistemas Mac OS X infectando EFI, el paquete de firmware que inicia el proceso de arranque. A Segundo Un kit de arranque muy primitivo ataca máquinas con Windows 8 infectando Paquete de arranque UEFIPredecesor de la UEFI. Alrededor de 2013, un investigador demostró un kit de arranque UEFI más avanzado para Windows llamado barco de ensueño.
El primer caso conocido de un ataque del mundo real dirigido a UEFI ocurrió en 2018 con el descubrimiento de un malware denominado LoJax. La nueva versión del software antirrobo legítimo conocido como LoJack fue creada por un grupo de hackers respaldado por el Kremlin y rastreada con nombres como Sednit, Fancy Bear y APT 28. El malware se instala de forma remota utilizando una herramienta de malware que puede leer y sobrescribir partes de la memoria flash del firmware UEFI.
En 2020, los investigadores descubrieron un segundo ejemplo del mundo real de malware que ataca a UEFI. Cada vez que se reinicia un dispositivo infectado, su UEFI busca archivos maliciosos en la carpeta de inicio de Windows y, si no, los instala. Los investigadores de Kaspersky, el proveedor de seguridad que descubrió el malware, lo llamaron “Regresor mosaico.” Los investigadores aún no han determinado cómo podría infectarse una UEFI comprometida. Desde entonces, se han revelado varios bootkits UEFI nuevos. Se les rastrea con nombres que incluyen ESpecter, FinSpy y MoonBounce.
La necesidad es la madre de la invención
En respuesta a la amenaza más amenazadora de los kits de arranque UEFI, Microsoft trabajó con los fabricantes de dispositivos para desarrollar Secure Boot, un estándar de la industria que utiliza firmas criptográficas para garantizar que el fabricante de la computadora confíe en cada pieza de firmware cargada al inicio. Secure Boot está diseñado para crear una cadena de confianza que evite que los atacantes reemplacen el firmware de arranque en cuestión con firmware malicioso. Si no se reconoce un enlace en la cadena de inicio, Secure Boot impedirá que el dispositivo se inicie.
Luego, en 2023, los investigadores descubrieron Logotipo fallidoUna serie de vulnerabilidades críticas descubrieron el arranque UEFI en casi todos los sistemas Windows y Linux del mundo. Un error de análisis de imágenes en el software que muestra los logotipos de los fabricantes de hardware en el momento del arranque permite a los atacantes evitar el arranque seguro e infectar UEFI con firmware malicioso.
