Vulnerabilidad crítica en cientos de modelos de PC por uso de claves de prueba en Secure Boot

Gigabyte, Dell, Lenovo, Supermicro, Acer y otros fabricantes han dejado cientos de modelos de PC vulnerables a ataques a nivel de arranque debido al uso indebido de claves de prueba.

Un informe reciente de la firma de seguridad Binarly ha revelado que muchos fabricantes no cambiaron las claves maestras de prueba proporcionadas por el desarrollador de UEFI, etiquetadas como “NO CONFIAR”, dejando cientos de modelos de PC expuestos a ataques con privilegios de nivel de arranque.

Dispositivos Afectados

Incluso los dispositivos lanzados en 2024, como las laptops Dell Alienware, servidores GPU de Gigabyte o PCs de escritorio Acer, están en la lista de dispositivos afectados por esta vulnerabilidad en Secure Boot. Este problema afecta principalmente a equipos de grado empresarial o de gama alta.

¿Qué es Secure Boot?

Secure Boot es un mecanismo de seguridad que protege el ordenador durante el arranque, asegurando que solo se ejecute código de confianza antes de que el sistema operativo se cargue. Utiliza una clave criptográfica para verificar la autenticidad del software, la cual debería ser secreta y única para cada fabricante.

El Problema

El problema, que se extiende desde 2012 hasta junio de 2024, afecta aproximadamente al 8-10% de las imágenes de firmware en la base de datos de Binarly. Según el informe, casi 900 modelos están en la lista de dispositivos vulnerables.

Clave Maestra Compartida

“El problema surge de la clave maestra de Secure Boot, conocida como la Clave de Plataforma (PK) en la terminología UEFI,” explica el informe. “El equipo de investigación de Binarly descubrió que cientos de productos utilizan una clave de plataforma de prueba generada por American Megatrends International (AMI).”

Esta clave, compartida entre muchos fabricantes, incluía advertencias claras, como “NO CONFIAR” o “NO ENVIAR”, pero aún así fue utilizada en dispositivos comerciales.

Clave Fácilmente Accesible

Los investigadores encontraron la clave en GitHub, donde el desarrollador del firmware probablemente filtró un componente privado de la Clave de Plataforma. La clave privada estaba protegida por una contraseña débil de solo 4 caracteres, fácilmente descifrable con herramientas de craqueo de contraseñas.

Este problema de la cadena de suministro de firmware ha sido denominado PKFail por los investigadores. Un atacante con acceso a la clave de plataforma puede eludir Secure Boot y cargar código malicioso que parece estar legítimamente firmado.

Vulnerabilidad Crítica en Cientos de Modelos de PC por Uso de Claves de Prueba en Secure Boot
Consecuencias del PKFail

Explotar PKFail permite a los atacantes ejecutar código no confiable durante el proceso de arranque, comprometiendo toda la cadena de seguridad desde el firmware hasta el sistema operativo. En teoría, el malware podría ejecutarse durante el arranque antes de que el sistema operativo se inicie, y los investigadores han demostrado un concepto de prueba.

Soluciones y Recomendaciones

No existen soluciones rápidas para este problema. Muchos dispositivos antiguos ya no reciben soporte, y los usuarios pueden necesitar instalar nuevas actualizaciones de firmware en los dispositivos más recientes cuando estén disponibles. Actualizar UEFI (también conocido como BIOS) a veces requiere conocimientos técnicos.

“Los usuarios deben mantenerse informados sobre las actualizaciones de firmware de sus fabricantes de dispositivos y aplicar cualquier parche de seguridad que aborde las vulnerabilidades de PKFail,” concluye el informe.

Herramienta de Verificación

Binarly ha proporcionado una herramienta en línea para verificar si el firmware está afectado por PKFail. Los dispositivos afectados tendrán los campos de sujeto y emisor del certificado de Clave de Plataforma conteniendo las cadenas “NO CONFIAR” o “NO ENVIAR.”

Related Posts
Clear Filters
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.