
[21/01/2025] Los investigadores de ESET han descubierto una vulnerabilidad, que afecta a la mayoría de los sistemas basados en UEFI, que permite a los actores eludir UEFI Secure Boot. Según lo señalado en el comunicado de prensa, esta vulnerabilidad, asignada CVE-2024-7344, se encontró en una aplicación UEFI firmada por el certificado UEFI de terceros "Microsoft Corporation UEFI CA 2011” de Microsoft. La explotación de esta vulnerabilidad puede conducir a la ejecución de código no fiable durante el arranque del sistema, permitiendo a los atacantes potenciales desplegar fácilmente bootkits UEFI maliciosos (como Bootkitty o BlackLotus) incluso en sistemas con UEFI Secure Boot habilitado, independientemente del sistema operativo instalado.
ESET informó de los hallazgos al Centro de Coordinación CERT (CERT/CC) en junio del 2024, que se puso en contacto con los proveedores afectados. El problema ya se ha solucionado en los productos afectados, y los antiguos binarios vulnerables fueron revocados por Microsoft en la actualización del martes de parches del 14 de enero del 2025.
La aplicación UEFI afectada forma parte de varias suites de software de recuperación de sistemas en tiempo real desarrolladas por Howyar Technologies Inc., Greenware Technologies, Radix Technologies Ltd., SANFONG Inc., Wasay Software Technology Inc., Computer Education System Inc. y Signal Computer GmbH.
"El número de vulnerabilidades de UEFI descubiertas en los últimos años y las fallas a la hora de parchearlas o revocar los binarios vulnerables en un plazo de tiempo razonable demuestran que incluso una característica tan esencial como UEFI Secure Boot no debería considerarse una barrera impenetrable”, afirmó el investigador de ESET, Martin Smolár, quien descubrió la vulnerabilidad. "Sin embargo, lo que más nos preocupa con respecto a la vulnerabilidad, no es el tiempo que se tardó en arreglar y revocar el binario, que fue bastante bueno en comparación con casos similares, sino el hecho de que no es la primera vez que se descubre un binario UEFI firmado tan obviamente inseguro. Esto nos lleva a preguntarnos cuán común es el uso de este tipo de técnicas inseguras entre los vendedores de software UEFI de terceros, y cuántos otros gestores de arranque oscuros pero firmados similares puede haber por ahí”.
El analista anotó que la explotación de esta vulnerabilidad no se limita a los sistemas con el software de recuperación afectado instalado, ya que los atacantes pueden llevar su propia copia del binario vulnerable a cualquier sistema UEFI con el certificado UEFI de terceros de Microsoft inscrito. "Además, se requieren privilegios elevados para desplegar los archivos vulnerables y maliciosos en la partición del sistema EFI (administrador local en Windows; root en Linux). La vulnerabilidad está causada por el uso de un cargador PE personalizado en lugar de utilizar las funciones estándar y seguras de UEFI LoadImage y StartImage. Todos los sistemas UEFI con la firma UEFI de terceros de Microsoft activada están afectados (los PCs con Windows 11 Secured-core deberían tener esta opción desactivada por defecto)”.
Smolár finalizó indicando que la vulnerabilidad puede mitigarse aplicando las últimas revocaciones UEFI de Microsoft. Los sistemas Windows deberían actualizarse automáticamente. Para los sistemas Linux, las actualizaciones deberían estar disponibles a través del Linux Vendor Firmware Service.
Franca Cavassa, CTOPerú