Los investigadores saben desde hace años acerca de los problemas de seguridad con el código informático fundamental conocido como firmware. A menudo está plagado de vulnerabilidades, es difícil de actualizar con parches y es cada vez más el objetivo de los ataques del mundo real. Ahora, un mecanismo bien intencionado para actualizar fácilmente el firmware de las computadoras Dell es vulnerable como resultado de cuatro errores rudimentarios. Y estas vulnerabilidades podrían explotarse para obtener acceso completo a los dispositivos de destino.
Los nuevos hallazgos de los investigadores de la firma de seguridad Eclypsium afectan a 128 modelos recientes de computadoras Dell, incluidas computadoras de escritorio, portátiles y tabletas. Los investigadores estiman que las vulnerabilidades exponen 30 millones de dispositivos en total, y las vulnerabilidades incluso funcionan en modelos que incorporan las protecciones de PC de núcleo seguro de Microsoft, un sistema creado específicamente para reducir la vulnerabilidad del firmware. Dell está lanzando parches para las fallas hoy.
“Estas vulnerabilidades son fáciles de explotar. Es esencialmente como viajar en el tiempo, es casi como volver a los años 90”, dice Jesse Michael, analista principal de Eclypsium. “La industria ha alcanzado toda esta madurez de las funciones de seguridad en el código a nivel de aplicación y sistema operativo, pero no sigue las mejores prácticas en las nuevas funciones de seguridad del firmware”.
Las vulnerabilidades aparecen en una función de Dell llamada BIOSConnect, que permite a los usuarios descargar actualizaciones de firmware de manera fácil e incluso automática. BIOSConnect es parte de una función más amplia de actualización y administración remota del sistema operativo de Dell llamada SupportAssist, que ha tenido su propia cuota de vulnerabilidades potencialmente problemáticas. Los mecanismos de actualización son objetivos valiosos para los atacantes, ya que pueden contaminarse para distribuir malware.
Las cuatro vulnerabilidades que los investigadores descubrieron en BIOSConnect no permitirían a los piratas informáticos generar actualizaciones de firmware maliciosas de Dell para todos los usuarios a la vez. Sin embargo, podrían explotarse para apuntar individualmente a los dispositivos de las víctimas y obtener fácilmente el control remoto del firmware. Comprometer el firmware de un dispositivo puede dar a los atacantes el control total de la máquina, porque el firmware coordina el hardware y el software, y se ejecuta como un precursor del sistema operativo y las aplicaciones de la computadora.
“Este es un ataque que le permite al atacante ir directamente al BIOS”, el firmware fundamental utilizado en el proceso de arranque, dice el investigador de Eclypsium Scott Scheferman. “Antes de que el sistema operativo se inicie y se dé cuenta de lo que está sucediendo, el ataque ya ocurrió. Es un conjunto de vulnerabilidades evasivas, poderosas y deseables para un atacante que quiere persistencia”.
Una advertencia importante es que los atacantes no pueden explotar directamente los cuatro errores de BIOSConnect desde la Internet abierta. Necesitan tener un punto de apoyo en la red interna de los dispositivos de las víctimas. Pero los investigadores enfatizan que la facilidad de explotación y la falta de monitoreo o registro a nivel de firmware harían que estas vulnerabilidades fueran atractivas para los piratas informáticos. Una vez que un atacante ha comprometido el firmware, es probable que permanezca sin ser detectado a largo plazo dentro de las redes de un objetivo.
Los investigadores de Eclypsium revelaron las vulnerabilidades a Dell el 3 de marzo. Presentarán los hallazgos en la conferencia de seguridad Defcon en Las Vegas a principios de agosto.
“Dell solucionó múltiples vulnerabilidades para las funciones Dell BIOSConnect y HTTPS Boot disponibles con algunas plataformas Dell Client”, dijo la compañía en un comunicado. “Las funciones se actualizarán automáticamente si los clientes tienen activadas las actualizaciones automáticas de Dell”. De lo contrario, la compañía dice que los clientes deben instalar manualmente los parches “lo antes posible”.
Sin embargo, los investigadores de Eclypsium advierten que esta es una actualización que quizás no desee descargar automáticamente. Dado que BIOSConnect en sí mismo es el mecanismo vulnerable, la forma más segura de obtener las actualizaciones es navegar al sitio web de controladores y descargas de Dell y descargar e instalar manualmente las actualizaciones desde allí. Sin embargo, para el usuario promedio, el mejor enfoque es simplemente actualizar su Dell como pueda, lo más rápido posible.
“Estamos viendo estos errores que son relativamente simples como fallas lógicas que aparecen en el nuevo espacio de seguridad del firmware”, dice Michael de Eclypsium. “Estás confiando en que esta casa ha sido construida de manera segura, pero en realidad está asentada sobre una base arenosa”.
Después de pasar por una serie de escenarios de ataques de pesadilla debido a la inseguridad del firmware, Michael toma un respiro. “Lo siento”, dice. “Puedo despotricar mucho sobre esto”.
Esta historia apareció originalmente en wired.com.