CISA de EE. UU. insta a mejorar componentes informáticos clave

Gobernanza y gestión de riesgos, gestión de parches

El gobierno federal de EE. UU. está instando a los fabricantes de computadoras a mejorar la seguridad de la arquitectura del firmware que arranca los dispositivos después de que un poderoso kit de arranque detectado el año pasado generó mayores preocupaciones sobre infecciones permanentes de malware.

Ver también: Seminario web en vivo | Desenmascarando a Pegasus: comprenda la amenaza y fortalezca su defensa digital

La Agencia de Seguridad de Infraestructura y Ciberseguridad emitió un llamado a la acción el jueves para que los desarrolladores de estándares detrás de la Interfaz de firmware extensible unificada mejoren las prácticas de distribución, codificación y registro de parches.

UEFI es un estándar industrial para la inicialización de hardware cuando se enciende una computadora, publicado por el Foro UEFI. Un portavoz dijo que el foro no tiene comentarios.

El llamado se produce después de que el descubrimiento de un malware conocido como BlackLotus, un potente kit de arranque vendido en foros de piratería por 5.000 dólares, hizo que la Agencia de Seguridad Nacional advirtiera en junio a los administradores de sistemas Windows sobre su amenaza.

BlackLotus evita las funciones de seguridad de Microsoft destinadas a proteger a los piratas informáticos de infectar el proceso de arranque que tiene lugar antes de que el sistema operativo Windows asuma el control. Una vez que el malware ha infectado el software UEFI, puede obtener control total sobre el sistema. Las infecciones del cargador de arranque son difíciles de detectar y cualquier computadora infectada con BlackLotus debe volver a crearse una imagen completa y posiblemente descartarse.

Microsoft ha lanzado varios parches para obstaculizar BlackLotus, pero la NSA dijo que la aplicación de parches es sólo un primer paso para proteger las máquinas contra el malware (consulte: Guía de solución de problemas de la NSA para BlackLotus Malware).

"Los bootkits UEFI son amenazas muy poderosas, tienen control total sobre el proceso de arranque del sistema operativo y, por lo tanto, son capaces de deshabilitar varios mecanismos de seguridad del sistema operativo y desplegar sus propias cargas útiles en modo kernel o en modo usuario en las primeras etapas de inicio del sistema operativo", dijo Martin Smolár, un malware analista de Eset, en un informe del 1 de marzo que desenmascara a BlackLotus. "Esto les permite operar de manera muy sigilosa y con altos privilegios".

Microsoft está introduciendo gradualmente correcciones para revocar una versión vulnerable del gestor de arranque que BlackLotus aprovecha para eludir las protecciones de seguridad, pero dice que no prevé que la implementación se complete hasta el primer trimestre del próximo año. Una de las razones del ritmo mesurado, dijo Microsoft, es que los medios de arranque más antiguos, como las imágenes de respaldo, quedarán inutilizables.

CISA también recomienda que todos los desarrolladores UEFI implementen una infraestructura de clave pública dedicada para las actualizaciones. Un funcionario de CISA le dijo a Dark Reading que el uso por parte de Microsoft de una única clave para firmar múltiples archivos ha hecho que parchear computadoras Windows contra BlackLotus sea un proceso mucho más difícil.

La agencia también recomienda una lista de materiales de software para los componentes UEFI y una mejor capacidad UEFI nativa para que los administradores recopilen registros de eventos.