LogoFAIL: vulnerabilidad del firmware UEFI que afecta a Windows y Linux y es casi imposible de detectar

Desde que tenemos Internet se nos han abierto muchas puertas y posibilidades para utilizar los PC, móviles y otros dispositivos. Sin embargo, también han permitido la entrada de malware, ataques y exploits que aprovechan brechas de seguridad en los sistemas. Ahora ha aparecido una nueva vulnerabilidad que afecta a usuarios de Windows y Linux, se llama LogoFAIL y es casi imposible de detectar o eliminar.

A lo largo de estos últimos años, hemos visto bastantes reportes de vulnerabilidades que afectaban a CPU Intel y AMD. Recordamos así a Spectre, una de las que más dolores de cabeza dieron, pues estuvo viva durante varios años y aparecían variantes de la misma que lograban zafarse de todas las mitigaciones. También fue un momento donde vimos otras vulnerabilidades como Meltdown y al final, para hacer frente a estas se tuvieron que lanzar parches en forma de mitigaciones. Como imaginarás, estas mitigaciones conllevaban una pérdida de rendimiento, pero al menos así estábamos seguros de nuevo.

La vulnerabilidad LogoFAIL afecta a Windows y Linux con CPU Intel, AMD y Arm

Vulnerabilidad binario

Estar completamente seguros en un PC es algo casi imposible, si tenemos en cuenta que van apareciendo nuevas vulnerabilidades y brechas de seguridad. La última de ellas se trata de LogoFAIL, la cual realiza un ataque al firmware del ordenador y es muy eficaz. Consigue reescribir el logotipo cuando iniciamos el sistema aparentemente sin errores. Esta vulnerabilidad es extremadamente peligrosa por eso mismo, porque evita las medidas de seguridad, incluso aquellas que funcionaban contra ataques bootkit.

Esta vulnerabilidad afecta a cualquier placa base que utilice UEFI suministrado por vendedores de BIOS independientes (IBV). Aquí tenemos a compañías como Phoenix, Insyde o AMI, las cuales tendrán que lanzar parches UEFI para enfrentarse a LogoFAIL. Mientras tanto, el ataque es capaz de afectar a todo tipo de sistemas tanto Windows como Linux, afectando a procesadores de Intel, AMD e incluso Arm.

Los Mac no están afectados y algunos PC OEM de marcas como Dell tampoco

Esta vulnerabilidad fue descubierta por los investigadores de Binarly, los cuales realizaron una prueba de concepto para ver como era el ataque. Tal y como podemos ver en el video, la vulnerabilidad LogoFAIL sustituye el logotipo de la marca inicial por otro e incluso puede mostrar un mensaje personalizado como han hecho en este caso. Se ha empleado un PC Lenovo ThinkCentre M70 equipado con una CPU Intel de 11ª generación con Intel Secure Boot y Boot Guard activos. Ni estas medidas de seguridad ni la última actualización UEFI disponible eran suficientes para evitar el ataque.

Se trata de una simulación, pero ya nos podemos imaginar lo peligroso que puede ser. La vulnerabilidad LogoFAIL se salta esas medidas de seguridad empleadas por la CPU, el sistema operativo y software de terceros. Además, no se almacena en el sistema de almacenamiento del PC, por lo que es prácticamente imposible de eliminar. Una vez entra en nuestro PC, puede instalar un bootkit sin ser detenido por ninguna medida de seguridad.

Si bien dijimos que todos los PC con Windows y Linux eran vulnerables, esto no es del todo cierto. Hay PC OEM seguros, como los que vende Dell. Esto se debe a que la compañía no permite cambiar los logotipos de la UEFI y están protegidos por Image Boot Guard. Por otro lado y como imaginarás, los Mac también están protegidos, ya que tienen las imágenes de logotipos integradas en la UEFI. Esto incluye también a los Mac antiguos con CPU Intel. Para todos los demás, toca esperar a que los fabricantes de BIOS lancen parches UEFI para evitar que esto ocurra.