Los investigadores han sabido durante años sobre problemas de seguridad con el código informático fundamental conocido como firmware. A menudo está plagado de vulnerabilidades, es difícil de actualizar con parches y es cada vez más el objetivo de ataques del mundo real. Ahora, un mecanismo bien intencionado para actualizar fácilmente el firmware de las computadoras Dell es en sí mismo vulnerable como resultado de cuatro errores rudimentarios. Y estas vulnerabilidades podrían explotarse para obtener acceso completo a los dispositivos de destino.
Los nuevos hallazgos de los investigadores de la firma de seguridad Eclypsium impactan 128 modelos recientes de computadoras Dell, incluidas computadoras de escritorio, portátiles y tabletas. Los investigadores estiman que las vulnerabilidades exponen 30 millones de dispositivos en total, y las vulnerabilidades incluso funcionan en modelos que incorporan las protecciones de PC de núcleo seguro de Microsoft, un sistema diseñado específicamente para reducir la vulnerabilidad del firmware. Dell está lanzando parches para las fallas hoy.
“Estas vulnerabilidades están en modo fácil de explotar. Es esencialmente como viajar atrás en el tiempo, es casi como en los noventa nuevamente ”, dice Jesse Michael, analista principal de Eclypsium. “La industria ha logrado toda esta madurez de las características de seguridad en el código de nivel de aplicación y sistema operativo, pero no está siguiendo las mejores prácticas en las nuevas características de seguridad del firmware”.
Las vulnerabilidades aparecen en una función de Dell llamada BIOSConnect, que permite a los usuarios descargar actualizaciones de firmware de manera fácil e incluso automática. BIOSConnect es parte de una actualización más amplia de Dell y una función de administración remota del sistema operativo llamada SupportAssist, que ha tenido su propia parte de vulnerabilidades potencialmente problemáticas. Los mecanismos de actualización son objetivos valiosos para los atacantes, ya que pueden estar alterados para distribuir malware.
Las cuatro vulnerabilidades que los investigadores descubrieron en BIOSConnect no permitirían a los piratas informáticos enviar actualizaciones de firmware maliciosas de Dell a todos los usuarios a la vez. Sin embargo, podrían explotarse para apuntar individualmente a los dispositivos víctimas y obtener fácilmente el control remoto del firmware. Poner en peligro el firmware de un dispositivo puede dar a los atacantes el control total de la máquina, porque el firmware coordina el hardware y el software, y se ejecuta como un precursor del sistema operativo y las aplicaciones de la computadora.
“Este es un ataque que permite que un atacante vaya directamente al BIOS”, el firmware fundamental utilizado en el proceso de arranque, dice el investigador de Eclypsium Scott Scheferman. “Antes de que el sistema operativo siquiera se inicie y se dé cuenta de lo que está sucediendo, el ataque ya ocurrió. Es un conjunto de vulnerabilidades evasivas, poderosas y deseables para un atacante que quiere persistencia “.
Una advertencia importante es que los atacantes no podrían explotar directamente los cuatro errores de BIOSConnect de Internet abierta. Necesitan tener un punto de apoyo en la red interna de dispositivos víctimas. Pero los investigadores enfatizan que la facilidad de explotación y la falta de monitoreo o registro a nivel de firmware harían que estas vulnerabilidades fueran atractivas para los piratas informáticos. Una vez que un atacante ha comprometido el firmware, es probable que no se detecte a largo plazo dentro de las redes de un objetivo.
Los investigadores de Eclypsium revelaron las vulnerabilidades a Dell el 3 de marzo. Presentarán los hallazgos en la conferencia de seguridad Defcon en Las Vegas a principios de agosto.
“Dell corrigió varias vulnerabilidades para las funciones Dell BIOSConnect y HTTPS Boot disponibles con algunas plataformas Dell Client”, dijo la compañía en un comunicado. “Las funciones se actualizarán automáticamente si los clientes tienen activadas las actualizaciones automáticas de Dell”. De lo contrario, la empresa dice que los clientes deben instalar manualmente los parches “lo antes posible”.
Sin embargo, los investigadores de Eclypsium advierten que esta es una actualización que es posible que no desee descargar automáticamente. Dado que BIOSConnect en sí es el mecanismo vulnerable, la forma más segura de obtener las actualizaciones es navegar al sitio web de Descargas y controladores de Dell y descargar e instalar manualmente las actualizaciones desde allí. Sin embargo, para el usuario promedio, el mejor enfoque es simplemente actualizar su Dell como sea posible lo más rápido posible.
.