Somos ESET

El Blog Corporativo de ESET Latinoamérica

noviembre 15, 2017

¿Qué es UEFI y cómo protegerlo?

ESET

Categoría de la Nota

Adaptación de un post de Cameron Camp, ESET Security Researcher. Versión original en inglés disponible aquí.

Cuando ESET anunció que entre las novedades que incorporaba su nueva versión para productos hogareños se incluiría UEFI Scanner, hubo dos reacciones. Algunos lo consideraron algo grandioso, otros se preguntaron “¿qué es UEFI Scanner?”. A continuación, te daremos las respuestas a esa pregunta.

De BIOS a UEFI

UEFI significa Interfaz de Firmware Extensible unificada (por sus siglas en inglés), y es el encargado de poner en funcionamiento el sistema de la computadora cada vez que la enciendes. Probablemente, hayas oído que quien se ocupaba de esta tarea era algo llamado BIOS, y de hecho, así era. Sin embargo, hoy las computadoras utilizan UEFI.

Como muchas otras partes del sistema de una computadora, UEFI puede ser atacado en un intento por acceder a ese sistema. La tarea del UEFI Scanner es detectar y mitigar amenazas que puedan ejecutarse antes de que se inicie el sistema operativo.  Estas amenazas, que incluyen rootkits y ransomware, persiguen vulnerabilidades en el UEFI y suelen ser muy persistentes, sobreviviendo incluso a la reinstalación de un sistema operativo. El objetivo del ESET UEFI Scanner es prevenir este tipo de ataques.

BIOS, el predecesor de UEFI, fue diseñado originalmente en 1975 para computadoras de 8 bits. Por mucho tiempo, nadie supo cómo reemplazarlo, lo que sí sabían era que aquello debía tener nuevas capacidades y una mejor seguridad, así como ser fácil de actualizar y expandir sin la necesidad de utilizar lenguaje de programación.

Un factor más práctico a la hora de decidir reemplazar el BIOS fue la necesidad de soportar discos duros de mayor tamaño, algo que para 1975 no era tenido en cuenta. Pero eso cambió.

Eventualmente, Intel creó el EFI para sus procesadores, abriendo luego el UEFI (Interfaz de Firmware Extensible Universal) Forum, donde publicaron una especificación disponible para que todos puedan adaptarlo y construir el propio. Y la industria no dudó, todos los proveedores comenzaron a desarrollar sus versiones.

La adopción del UEFI fue impulsada por Microsoft, un entusiasta de las nuevas opciones disponibles: la compañía declaró que UEFI sería un requerimiento para las nuevas computadoras de 64 bits. Después de todo, UEFI introducía algunas funcionalidades de seguridad que el BIOS no permitía.

Desafortunadamente, como con toda nueva tecnología, especialmente una potencialmente poderosa, confiable y de largo alcance utilizada para ejecutar muchas de las nuevas computadoras que llegaban al mercado, no todo funcionaba como debía. Llevó tiempo probar todas las posibles variables en las que se implementaba, pero lo que llegaban a cubrir estas pruebas no parecía ser tan completo, por lo cual las primeras experiencias no fueron muy satisfactorias.

A su vez, toda una generación de especialistas en informática que habían crecido con el BIOS no tenían las herramientas ni el entrenamiento para solucionar problemas del UEFI, principalmente porque esas herramientas aún no estaban disponibles.

Inquietudes por la seguridad

Dado que infectar el UEFI permitía cierta persistencia dentro del sistema y dificultad para ser detectado mediante métodos tradicionales, los atacantes buscaron nuevas maneras de acceder, conseguir privilegios de usuario y escribir directamente al UEFI Serial Peripheral Interface o SPI, que incluye todos los binarios confiables para iniciar la computadora. De ser exitoso, el atacante tendría acceso a más recursos del sistema al cargar los binarios, lo que no tendría buenos resultados.

Bienvenido UEFI Scanner

En el mundo del desarrollo de software de seguridad, el potencial para el crecimiento de nuevos vectores de abuso de UEFI significó una mayor importancia en el análisis interno del propio UEFI. Como resultado, ESET se introdujo en el análisis y comprensión de potenciales amenazas. Inicialmente, era poca la información disponible a cerca de las amenazas activas para UEFI, pero gracias al sistema de inteligencia y huellas de ESET, comenzaron a recolectarse y analizarse potenciales vectores de ataque para proteger este espacio en crecimiento.

De alguna manera, esto no parecía una verdadera amenaza, hasta que las pruebas recolectadas fueron analizadas, y luego publicadas. Como con muchas otras nuevas tecnologías, los primeros intentos por explotar las vulnerabilidades, especialmente las que son exitosas, suelen ser la fuente de nuevas cosas por venir. Una vez que los atacantes hallan la “killer app” para acceder al UEFI, veremos más exploits in the wild, a menos que una combinación de proveedores de hardware y software creen parches disponibles.

Mientras las herramientas de los atacantes se extienden y se hacen más robustas para el UEFI y la amplia variedad de niveles de parches persista, UEFI seguirá siendo un objetivo. La necesidad de una exploración de UEFI y un bloqueo de amenazas efectivo sólo irá en aumento.

A continuación, podrás ver cuáles son algunas de las funcionalidades de UEFI Scanner, que incorporó ESET en su última versión de productos hogareños, junto con otras de las novedades de nuestros productos:

 

Créditos Imagen: © verkeorg/Flickr.com


Notas Relacionadas

Comentarios

Deja un comentario