Artur Widak | imágenes falsas
Los investigadores han conocido por años sobre cuestiones de seguridad con el código informático fundamental conocido como firmware. Es a menudo plagado de vulnerabilidades, es difícil actualizar con parches y cada vez es más objetivo de ataques del mundo real. Ahora, un mecanismo bien intencionado para actualizar fácilmente el firmware de las computadoras Dell es en sí mismo vulnerable como resultado de cuatro errores rudimentarios. Y estas vulnerabilidades
La nuevos hallazgos de los investigadores de la firma de seguridad Eclypsium afectan a 128 modelos recientes de computadoras Dell, incluidas computadoras de escritorio, portátiles y tabletas. Los investigadores estiman que las vulnerabilidades exponen 30 millones de dispositivos en total, y los exploits incluso funcionan en modelos que incorporan Protecciones de PC de núcleo seguro de Microsoft: un sistema construido específicamente
“Estas vulnerabilidades están en modo fácil de explotar. Es esencialmente como viajar en el tiempo, es casi como en los noventa nuevamente ”, dice Jesse Michael, analista principal de Eclypsium. “La industria ha logrado toda esta madurez de las características de seguridad en el código de nivel de aplicación y sistema operativo, pero no está siguiendo las mejores prácticas en las nuevas características de seguridad del firmware”.
Las vulnerabilidades aparecen en una función de Dell llamada BIOSConnect, que permite a los usuarios descargar actualizaciones de firmware de manera fácil e incluso automática. BIOSConnect es parte de una función más amplia de administración remota del sistema operativo y actualización de Dell llamada SupportAssist, que ha tenido su propia participación de vulnerabilidades potencialmente problemáticas
Las cuatro vulnerabilidades que los investigadores descubrieron en BIOSConnect no permitirían a los piratas informáticos sembrar actualizaciones de firmware de Dell maliciosas para todos los usuarios a la vez. Sin embargo, podrían explotarse para apuntar individualmente a los dispositivos víctimas y obtener fácilmente el control remoto del firmware. Poner en peligro el firmware de un dispositivo puede dar a los atacantes el control total de la máquina, porque el firmware coordina el hardware y el software, y se ejecuta como un precursor del sistema operativo y las aplicaciones de la computadora.
“Este es un ataque que permite que un atacante vaya directamente al BIOS”, el firmware fundamental utilizado en el proceso de arranque, dice el investigador de Eclypsium Scott Scheferman. “Antes de que el sistema operativo siquiera se inicie y se dé cuenta de lo que está sucediendo, el ataque ya ocurrió. Es un conjunto de vulnerabilidades evasivas, poderosas y deseables para un atacante que quiere persistencia “.
Una advertencia importante es que los atacantes no podrían explotar directamente los cuatro errores de BIOSConnect de Internet abierta. Necesitan tener un punto de apoyo en la red interna de dispositivos víctimas. Pero los investigadores enfatizan que la facilidad de explotación y la falta de monitoreo o registro a nivel de firmware harían que estas vulnerabilidades fueran atractivas para los piratas informáticos. Una vez que un atacante ha comprometido el firmware, es probable que no se detecte a largo plazo dentro de las redes de un objetivo.
Los investigadores de Eclypsium revelaron las vulnerabilidades a Dell el 3 de marzo. Presentarán los hallazgos en la conferencia de seguridad Defcon en Las Vegas a principios de agosto.
“Dell corrigió múltiples vulnerabilidades para las funciones Dell BIOSConnect y HTTPS Boot disponibles con algunas plataformas Dell Client”, dijo la compañía en un comunicado. “Las funciones se actualizarán automáticamente si los clientes tienen Actualizaciones automáticas de Dell activadas. “De lo contrario, la empresa dice que los clientes deben instalar manualmente los parches” lo antes posible “.
Sin embargo, los investigadores de Eclypsium advierten que esta es una actualización que es posible que no desee descargar automáticamente. Dado que BIOSConnect en sí es el mecanismo vulnerable, la forma más segura de obtener las actualizaciones es navegar a Dell Controladores y descargas sitio web y descargue e instale manualmente las actualizaciones desde allí. Sin embargo, para el usuario promedio, el mejor enfoque es simplemente actualizar su Dell como pueda, lo más rápido posible.
“Estamos viendo estos errores que son relativamente simples como fallas lógicas que aparecen en el nuevo espacio de la seguridad del firmware”, dice Michael de Eclypsium. “Confías en que esta casa se ha construido de forma segura, pero en realidad está asentada sobre una base de arena”.
Después de pasar por una serie de escenarios de ataques de pesadilla por inseguridad del firmware, Michael toma un respiro. “Lo siento”, dice. “Puedo despotricar mucho sobre esto”.
Esta historia apareció originalmente en wired.com.