UEFI (Unified Extensible Firmware Interface) es el firmware moderno que reemplazó al BIOS y es fundamental para el proceso de arranque de los sistemas operativos actuales. Una de sus características clave es Secure Boot, un mecanismo de seguridad diseñado para evitar que software malicioso se cargue al inicio del sistema. Sin embargo, investigadores han descubierto una nueva vulnerabilidad que permite a atacantes evadir este mecanismo de protección, lo que expone a los dispositivos a bootkits, una de las amenazas más peligrosas en ciberseguridad.
Un bootkit es un tipo de malware que se instala en el firmware o en la partición de arranque de un sistema y se ejecuta antes que el sistema operativo, permitiendo a los atacantes tomar el control total del equipo sin ser detectados. La nueva vulnerabilidad encontrada en UEFI facilita la instalación de este tipo de malware, poniendo en riesgo la seguridad de millones de dispositivos.
¿Qué pasó?
El 16 de enero de 2025, investigadores descubrieron una vulnerabilidad crítica en el firmware UEFI, identificada como CVE-2024-7344, que permite a los atacantes eludir Secure Boot y ejecutar código no autorizado durante el arranque del sistema.
¿Cómo funciona la vulnerabilidad?
Esta falla se debe a una debilidad en una aplicación UEFI firmada con un certificado de terceros, lo que permite que los atacantes carguen software no verificado sin ser bloqueados. Esta vulnerabilidad da acceso a los atacantes para desplegar bootkits, como el conocido BlackLotus, que infectan el sistema incluso si se reinstala el sistema operativo, ya que residen en el firmware.
Impacto y riesgo
El impacto de esta vulnerabilidad es considerable, ya que puede afectar a dispositivos de diversas marcas que utilizan UEFI, independientemente de que Secure Boot esté habilitado. Al ser una amenaza que actúa en la etapa de arranque, el malware evade el monitoreo de antivirus y otros sistemas de protección, comprometiendo el dispositivo desde sus primeras fases de inicio y dificultando su eliminación posterior.
Recomendaciones
Para mitigar el riesgo de ser víctima de un ataque de bootkit debido a esta vulnerabilidad, se recomienda las siguientes medidas de seguridad:
- Mantén actualizado el firmware UEFI y el sistema operativo: Aplica los parches más recientes proporcionados por el fabricante y actualiza regularmente el sistema operativo para incluir las últimas actualizaciones de seguridad, de manera que se corrijan vulnerabilidades y se mantenga la protección frente a nuevas amenazas
- Revisa la configuración de Secure Boot: Verifica que Secure Boot esté habilitado en el menú UEFI/BIOS y desactiva las configuraciones que permitan cargar software no firmado, especialmente los certificados de terceros innecesarios, para reforzar la seguridad del arranque.
- Utiliza software de seguridad avanzado: Asegúrate de tener un antivirus con protección a nivel de firmware y habilita la protección contra rootkits y bootkits para fortalecer la seguridad del sistema desde sus etapas más tempranas.
- Monitorea y verifica la integridad del sistema de arranque: Utiliza herramientas como Windows Boot Configuration Data (BCD) para verificar la integridad de los archivos de arranque y considera soluciones EDR (Endpoint Detection and Response) que monitoreen el firmware en busca de comportamientos sospechosos, mejorando la detección temprana de amenazas.”
- Mantente informado sobre nuevas amenazas: Sigue las actualizaciones de seguridad publicadas por Microsoft y otros proveedores de hardware, y monitorea fuentes confiables de ciberseguridad como MITRE ATT&CK para estar al tanto de nuevas vulnerabilidades y amenazas.