Endpoint Security, Hardware / Chip-level Security UEFI Developer Filtró una Clave Asimétrica de Arranque SeguroPrajeet Nair (@prajeetspeaks) • 26 de julio de 2024 PKfail es un fallo de Arranque Seguro que afecta a cientos de modelos de portátiles y servidores. (Imagen: Shutterstock) Cientos de modelos de portátiles y servidores de los principales fabricantes corren el riesgo de sufrir ataques informáticos que pasan por alto las protecciones destinadas a garantizar que solo se pueda cargar software de confianza durante el arranque del ordenador, advierten los investigadores de la startup de la cadena de suministro de California Binarly. Ver también: OnDemand | Protección de dispositivos y software contra ciberamenazas de próxima generación La empresa de Los Ángeles detalló en un informe del jueves una serie de errores en la cadena de suministro que socavan las protecciones de Arranque Seguro integradas en placas base desarrolladas con kits fabricados por American Megatrends International. Llama a la vulnerabilidad PKfail. El malware cargado durante el arranque permite a los piratas informáticos evadir la detección de las aplicaciones antivirus y sobrevivir a las reinstalaciones del sistema operativo. Un consorcio de fabricantes de hardware y desarrolladores de sistemas operativos controla el estándar de arranque Unified Extensible Firmware Interface, que contiene especificaciones conocidas como Secure Boot destinadas a garantizar que solo el software confiable pueda cargarse antes de que el sistema operativo tome el control. Los investigadores y los piratas informáticos han intensificado las investigaciones sobre el estándar y sus implementaciones y cada vez más han encontrado vulnerabilidades dentro de la capa de computación difícil de parchear (ver: La falla de arranque de LogoFAIL pone en riesgo a cientos de dispositivos). El gobierno federal de EE. UU. instó en agosto pasado a los fabricantes de computadoras a mejorar la seguridad de UEFI, sugiriendo que los propietarios de sistemas puedan auditar y administrar los componentes de UEFI como lo hacen con otro software de computadora (ver: US CISA insta a mejorar un componente clave de la computadora). La falla identificada por Binarly proviene de una clave de criptografía AMI publicada, aparentemente por error, en un repositorio de GitHub en diciembre de 2022. La clave estaba encriptada, pero estaba protegida por una contraseña de cuatro caracteres, lo que hacía que su descifrado fuera trivialmente fácil. Secure Boot depende del cifrado asimétrico. Una cadena de claves criptográficas conduce a bases de datos que el protocolo UEFI utiliza para verificar los componentes de arranque de confianza y comprobar que no estén en una lista negra. En la raíz del proceso se encuentra la «clave de plataforma», la clave pública-privada que inicia la cadena de confianza. Esa es la clave que se filtró en 2022. Es identificable por su número de serie, 55:fb:ef:87:81:23:00:84:47:17:0b:b3:cd:87:3a:f4. Cualquier pirata informático con acceso al par de claves (y acceso privilegiado a una computadora) podría usar esa clave para envenenar las bases de datos de firmas de software confiable y no confiable al que se le permite encenderse durante el arranque. Binarly identificó más de 200 dispositivos afectados, incluidos productos fabricados por Acer, Dell, Gigabyte, Intel, Lenovo y Supermicro. Tanto los dispositivos x86 como los ARM están afectados por PKFail. Los fabricantes no son completamente inocentes, ya que la clave de la plataforma AMI filtrada está etiquetada como «no confiar» o «no enviar» con la expectativa de que los proveedores de dispositivos sustituyan la clave raíz con su propio par de claves asimétricas. Information Security Media Group intentó ponerse en contacto con AMI, pero no recibió respuesta. En una publicación de blog del jueves, el ejecutivo de AMI, Stefano Righi, dijo que la compañía continuará proporcionando claves de plataforma de «prueba» a los clientes. «AMI ha agregado salvaguardas de manera incremental en su firmware, como alertas de socios cuando se utilizan claves de prueba en compilaciones de código que incluyen advertencias en las pantallas de configuración del BIOS, notificando al usuario que hay claves de prueba presentes», dijo Righi. AMI es uno de los tres principales proveedores comerciales de UEFI, pero los otros dos, Phoenix Technologies e Insyde Software, parecen tener un mecanismo que evita que los fabricantes envíen productos con claves de prueba, concluyó Binarly. Los investigadores han detectado certificados de arranque seguro en circulación marcados como «no confiar» desde al menos 2016, cuando la condición fue designada CVE-2016-5247. Una investigación adicional de Binarly descubrió que las imágenes de firmware UEFI afectadas por el mismo problema que el par de claves asimétricas PKfail filtrado han sido utilizadas por los fabricantes desde 2012. En total, Binarly identificó 22 claves de plataforma únicas y no confiables presentes en computadoras fabricadas por fabricantes como Acer, Dell y Samsung. Lenovo le dijo a Ars Technica que «ningún sistema Lenovo compatible está expuesto al escenario que Binarly afirma en su documento de investigación PKFail». HP, Fujitsu e Intel dijeron que los dispositivos afectados por PKFail han sido descontinuados o han pasado su fecha de fin de vida. Supermicro le dijo al medio que «ha abordado los problemas de clave de plataforma principalmente en sistemas de generaciones anteriores con actualizaciones de BIOS». Hay poco que las personas puedan hacer para protegerse contra PKfail aparte de proteger el acceso a sus máquinas y aplicar cualquier actualización de firmware que solucione el problema. Binarly creó un sitio web que permite a los usuarios cargar binarios de firmware para verificar PKfail. URL de la publicación original: https://www.databreachtoday.com/pkfail-newly-discovered-pathway-for-firmware-malware-a-25867