La UEFI es una parte clave en los ordenadores actuales. Esta sustituta de las BIOS es mucho más completa que las antiguas, permitiendo cambiar todo tipo de ajustes en nuestros ordenadores. Sin embargo, encontrar vulnerabilidades en ellas puede ser catastrófico para nuestro ordenador, ya que cualquiera puede llegar a tomar el control de nuestro PC sin que nos demos cuenta. Eso ha pasado con una nueva ristra de vulnerabilidades.
Investigadores de la compañía de protección de firmware Binarly han descubierto vulnerabilidades en el firmware de UEFI usado por fabricantes como Intel, AMD, Lenovo, Dell, ASUS, HP, Siemens, Microsoft, Acer y Fujitsu. La UEFI actúa como intermediaria entre el firmware del dispositivo y el sistema operativo, encargándose de elementos clave como el arranque, diagnóstico de fallos con el hardware, y funciones de reparación.
23 fallos de seguridad en las UEFI
El problema es que Binarly ha encontrado 23 fallos de seguridad en el firmware UEFI de InsydeH2O, usado por todos los fabricantes que hemos mencionado. La mayoría de los fallos residen en el System Management Mode (SMM), que se encarga de gestionar la energía y controlar el hardware, entre otros.
El SMM tiene más privilegios que el kernel del sistema operativo, de ahí que encontrar fallos de seguridad aquí sea muy peligroso. En este caso, un atacante con acceso local o remoto a un dispositivo con privilegios de administrador puede llegar a desactivar Secure Boot, instalar software persistente que no se puede eliminar con facilidad, o crear puertas traseras para robar datos sensibles. Y todo ello sin ser detectado.
Los 23 fallos de seguridad descubiertos han recibido los códigos CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-2021-41838, CVE-2021-41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-2021-43323, CVE-2021-43522, CVE-2021-43615, CVE-2021-45969, CVE-2021-45970, CVE-2021-45971, CVE-2022-24030, CVE-2022-24031 y CVE-2022-24069.
De ellos, CVE-2021-45969, CVE-2021-45970 y CVE-2021-45971 son críticos, con una puntuación en nivel de gravedad de 9,8 sobre 10. Diez de las vulnerabilidades se pueden explotar escalando privilegios, mientras que el resto pueden explotarse mediante corrupción de memoria.
Apenas hay ordenadores parcheados
Insyde, tras conocer la existencia de las vulnerabilidades, ha lanzado parches de seguridad para arreglar estos fallos lo antes posible. El problema de este proceso es que es muy lento, ya que primero tiene que ser adaptado a sus dispositivos por parte de los fabricantes, y luego ser lanzado en forma de parche de seguridad. Por ello, pueden pasar meses hasta que una gran parte de los usuarios afectados instale los parches.
De momento sólo Insyde, Fujitsu e Intel han confirmado que sus dispositivos están afectados. Rockwell, Supermicro y Toshiba afirman que sus dispositivos no están afectados, y el resto, a pesar de que los investigadores de Binarly han descubierto dispositivos vulnerables, se encuentran todavía investigando.
Es importante que estos fallos se parcheen cuanto antes, ya que las consecuencias pueden llegar a ser devastadoras. En principio, los usuarios de Linux y Windows deberían estar tranquilos, ya que estos parches deberían poder instalarse a través de los correspondientes sistemas de actualización del sistema operativo. No obstante, es conveniente que estéis al día con las últimas BIOS de vuestros fabricantes. Para ello, hay que acudir a la página de soporte de nuestras placas base, o de nuestros fabricantes de portátiles en el caso de tener un portátil.