Una nueva vulnerabilidad en Linux y Windows amenaza con poner de cabeza al mundo entero. Investigadores de seguridad descubrieron un cúmulo de agujeros en la interfaz unificada de firmware extensible (UEFI) que permite ejecutar código malicioso al iniciar el sistema. El ataque, conocido como LogoFAIL, puede colocar un ejecutable en el duro y es imposible de eliminar por cualquier antivirus.
LogoFAIL explota una vulnerabilidad en las bibliotecas de análisis de imágenes que utiliza UEFI durante el arranque. El ataque sustituye el logotipo del fabricante que se muestra al encender nuestro ordenador por otro archivo de aspecto idéntico que ha sido diseñado para ejecutar un script. Debido a que ocurre durante el proceso de arranque, no existe ninguna solución de seguridad que pueda detenerlo.
Un reporte de ArsTechnica detalla los hallazgos de Binarly, una firma de seguridad que analiza problemas potenciales en el firmware de los ordenadores. En el marco de la Conferencia Black Hat Europa 2023, los investigadores revelaron que LogoFAIL aprovecha múltiples vulnerabilidades que han estado presentes por décadas en ordenadores Windows y Linux.
Para sacar provecho, el atacante debe reemplazar primero la imagen del logotipo que se encuentra en la partición que almacena el cargador de arranque (bootloader). Al reiniciar el equipo, el archivo infectado ejecutará el código malicioso durante la fase del entorno de ejecución del controlador (DXE), que es donde se realiza la mayor parte de inicialización del sistema. Esto impide que pueda ser detectado por cualquier solución de seguridad del CPU o del sistema operativo.
Una vez instalado, LogoFAIL crea un kit de arranque para permanecer en tu ordenador para siempre. No hay antivirus que pueda eliminarlo y sobrevive a cualquier formateo del disco duro.
Cómo eliminar LogoFAIL de Linux y Windows
Debido a que LogoFAIL aprovecha las vulnerabilidades en la interfaz unificada de firmware extensible, cualquier placa madre que utilice UEFI está en riesgo. “Estas vulnerabilidades están presentes en la mayoría de los casos dentro del código de referencia, lo que afecta no a un solo proveedor sino a todo el ecosistema de este código y a los proveedores de dispositivos donde se utiliza”, declaró Alex Matrosov, director ejecutivo de Binarly.
Los investigadores efectuaron una demostración de LogoFAIL en un ordenador Lenovo ThinkCentre M70s con procesador Intel y medidas de seguridad de hardware activadas.
Debido a que el exploit afecta a todos los sistemas Intel, AMD y ARM, es necesario esperar a un parche del fabricante. Algunos equipos Dell y las Mac con procesadores Intel son inmunes a cualquier ataque de LogoFAIL. Esto se debe a que cuentan con mecanismos de seguridad que impiden la sustitución de los logotipos UEFI.
Hasta el momento no existe evidencia de que algún hacker haya sacado provecho, aunque los investigadores dejan claro que no hay modo de saberlo. Un atacante habría modificado el logotipo de tu ordenador sin que te dieras cuenta, puesto que las vulnerabilidades tienen más de una década.