Advertencia sobre Shims de UEFI firmados por Microsoft: cómo 11 bootloaders vulnerables podrían debilitar Secure Boot


La seguridad de las plataformas modernas depende en gran medida de la integridad del proceso de arranque. Recientemente, un equipo de ciberseguridad ha identificado 11 bootloaders de tipo shim para UEFI que estaban firmados por Microsoft y que podrían permitir a actores maliciosos evadir Secure Boot y desplegar bootkits dañinos. Este hallazgo subraya la necesidad de mantener actualizadas las cadenas de confianza y de vigilar de cerca las herramientas de arranque que intervienen entre el firmware y el sistema operativo.

Un shim es un pequeño ejecutable intermedio que funciona como puente entre el firmware UEFI y el cargador de arranque del sistema operativo. Su objetivo principal es facilitar que los sistemas operativos trabajen con Secure Boot sin necesidad de que Microsoft firme cada cargador de Linux de forma individual.

Cualquier máquina basada en UEFI que confíe en el certificado de la entidad de certificación de terceros UEFI de Microsoft (CE certificado de 2011) podría haber sido vulnerable a estos shims (versiones 0.9 y anteriores). Dado que la mayoría de los PCs modernos utilizan firmware UEFI y confían por defecto en este certificado de Microsoft, el alcance potencial podría haber sido amplio, abarcando miles de millones de dispositivos.

Revocación de los shims

En respuesta, el equipo de ESET comunicó sus hallazgos a CERT/CC y las aplicaciones UEFI vulnerables fueron revocadas. Los shims provienen de diversas herramientas, como software de diagnóstico de PC, distribuciones de Linux y otras utilidades basadas en UEFI. Además, señalan que un atacante podría introducir su propio shim vulnerable en cualquier sistema UEFI que tenga inscrito el certificado de Microsoft, lo que podría convertir a sistemas aparentemente no afectados en blancos alcanzables.

Para bloquear estos shims vulnerables, se recomienda aplicar las revocaciones UEFI más recientes de Microsoft. En Windows, este proceso suele ocurrir de forma automática; en Linux, los usuarios deben verificar y aplicar las revocaciones a través del Linux Vendor Firmware Service (LVFS) o el mecanismo correspondiente de su distribución.

“Lo peligroso de estos shims antiguos no es la aparición de una vulnerabilidad nueva, sino el hecho de que no se requiere una vulnerabilidad adicional para saltarse Secure Boot,” explica Martin Smolár, investigador de ESET que descubrió estos shims vulnerables. “Un atacante no necesita príncipios de explotación complejos: basta con copiar un shim antiguo, aún confiable y no revocado, y entender cómo funciona para eludir una característica de seguridad tan esencial como Secure Boot.”

En resumen, la clave está en la gestión de la cadena de confianza de arranque y en mantener actualizadas las revocaciones de certificados y herramientas de firmware que verifican la integridad del proceso de arranque. Para los administradores y usuarios finales, la recomendación es verificar la disponibilidad de actualizaciones de firmware y firmware‑bundle mediante los canales oficiales de Microsoft y, en entornos Linux, asegurarse de que LVFS u otros mecanismos de gestión de firmware estén al día.

from Latest from TechRadar https://ift.tt/Tg5zq2I
via IFTTT IA