El mecanismo de seguridad de arranque (Secure Boot) de la Interfaz Extensible del Firmware Unificada (UEFI por sus siglas en inglés) puede eludirse en alrededor de la mitad de las computadoras que tienen la función habilitada para instalar bootkits, según un investigador de seguridad.

En la conferencia de seguridad Hack in the Box 2014 llevada a cabo en Amsterdam, Corey Kallenberg, un investigador de seguridad de la organización de investigación sin fines de lucro Mitre, mostró que es posible volver inutilizables algunos sistemas mediante la modificación de una variable específica de la UEFI directamente desde el sistema operativo, un problema que podría ser explotado fácilmente en ataques de sabotaje cibernético.

La UEFI fue diseñada como un reemplazo para el BIOS tradicional (Sistema Básico de Entrada/Salida) y está destinada a estandarizar el firmware de computadoras modernas a través de una especificación de referencia que los proveedores de OEM y BIOS pueden utilizar. Sin embargo, en realidad no puede haber diferencias importantes en cómo se implementa la UEFI, no sólo entre los distintos fabricantes de ordenadores, sino a través de los diferentes productos del mismo fabricante, dijo Kallenberg.

El año pasado los investigadores de Intel y Mitre descubrieron un problema en las implementaciones de la UEFI de American Megatrends, un proveedor de BIOS utilizado por muchos fabricantes de equipos originales, sostuvo Kallenberg. En particular, los investigadores encontraron que una variable en la UEFI llamada Setup no estaba debidamente protegida y podía ser modificada desde el sistema operativo mediante un proceso que se ejecuta con los permisos administrativos.

La modificación de la variable Setup de un modo particular permitió evadir el Secure Boot (mecanismo de arranque seguro), una característica de seguridad de la UEFI diseñada para impedir la instalación de bootkits, que son los rootkits que se esconden en el gestor de arranque del sistema y se inician antes que el sistema operativo real. Secure Boot funciona comprobando si el gestor de arranque está firmado digitalmente y preaprobado en una lista blanca antes de ejecutarlo.

Los bootkits han sido una seria amenaza por años. En el 2011 dijeron los investigadores de seguridad del laboratorio Kaspersky que el TDL versión 4 es un programa de malware que infecta el registro de arranque maestro de la computadora (MBR), el cual ha infectado a más de 4.5 millones de computadoras y ha sido llamado la amenaza más sofisticada del mundo. McAfee informó en 2013 que el número de amenazas de malware que infecta el MBR había alcanzado un nivel récord.

Además de evadir Secure Boot, la variable desprotegida Setup también puede utilizarse para inhabilitar sistemas si el atacante establece su valor en 0, reveló Kallenberg el jueves por primera vez. Si esto sucede, el equipo afectado no será capaz de empezar de nuevo.

Recuperarse de un ataque de ese tipo sería difícil y consumiría mucho tiempo ya que implica reprogramar el chip de la BIOS, que requiere la intervención manual y equipo especializado, mencionó el investigador.