Miles de Mac y PC pueden ser vulnerables a un tipo de ataque sofisticado

Un análisis de más de 70,000 computadoras Mac que se usan en empresas y organizaciones ha revelado una vulnerabilidad de firmware que podría ser explotada por un atacante determinado y bien provisto, como un gobierno extranjero, según investigadores de seguridad. Miles de computadoras están potencialmente en peligro.

Aunque los dispositivos Apple fueron el foco del estudio publicado el viernes por la firma Duo Security, los expertos de la compañía dicen que las máquinas basadas en Windows tienen más probabilidades de estar en riesgo debido a que muchos fabricantes diferentes están involucrados en la construcción de ese tipo de PC.

El defecto descrito por los investigadores de Duo Security, Rich Smith y Pepijn Bruienne, se refiere a la interfaz de firmware extensible de Apple, o EFI, que ayuda a las computadoras a arrancar y ejecutar el sistema operativo principal. Debido a que todas las operaciones subsiguientes de hardware y software dependen de la EFI, permitir que los secuestradores obtengan el control de la misma podría resultar desastroso.

La investigación que llevó al descubrimiento comenzó cuando Smith y Bruienne observaron cuántas Mac estaban ejecutando el firmware obsoleto. En estos días, las Macs deben actualizar su firmware automáticamente a las últimas versiones cuando un usuario también actualiza el sistema operativo principal, aislándolas de los ataques de firmware. Pero el estudio de Duo Security encontró que el 4.2% de las máquinas encuestadas estaban ejecutando una versión incorrecta o inesperada del firmware.

En otras palabras, algunas computadoras simplemente no parecen actualizar su firmware cuando se supone que deben hacerlo.

Como resultado, algunas máquinas pueden estar ejecutando un sistema operativo actualizado pero no el mejor firmware.

Las discrepancias en el firmware parecen afectar diferentes modelos de computadoras Mac en diferentes grados. Hasta 16 modelos de Mac nunca recibieron ninguna actualización de firmware, según mostró el informe. Ciertos iMacs de finales de 2015 fueron los peores infractores, con el 43% de esos sistemas ejecutando una versión obsoleta de firmware.

“El número de sistemas que no reflejaban el buen estado fue bastante sorprendente para nosotros”, dijo Smith. “Volvimos y revisamos nuestros datos varias veces para asegurarnos de que no nos llevaron a conclusiones equivocadas”.

Solo en la muestra de Duo Security, que proviene de sectores tan diversos como la educación superior, la tecnología y los grupos internacionales, más de 3,000 máquinas se vieron afectadas por la falla. Todos esos dispositivos vulnerables podrían convertirse en objetivos jugosos para hackers patrocinados por Estados que se dedican al espionaje corporativo o gubernamental.

La mayoría de los usuarios domésticos no tienen que preocuparse por este tipo de ataque, dijo Smith, porque no son los blancos más probables. En cambio, los más vulnerables pueden ser agencias gubernamentales, grupos industriales o corporaciones, aquellos con mucho más que perder y quienes podrían ser blanco deliberado de actores extranjeros.

Para ayudar a las empresas y organizaciones a controlar la salud de sus sistemas, Duo Security dijo que proporciona varias herramientas para que los utilicen los administradores de IT.

Duo Security contactó a Apple en junio para analizar los hallazgos, y Apple no solo aceptó los resultados y la metodología, dijo Smith, sino que también ha estado trabajando de cerca con la firma de seguridad para comprender el problema. Hasta el momento, ninguna compañía ha podido entender por qué algunas computadoras se niegan a aplicar las actualizaciones.

Apple no respondió a una solicitud de comentarios, pero algunos de sus empleados han trabajado para abordar vulnerabilidades de firmware.

Una serie de tweets de esta semana por parte de un ingeniero de la compañía destacó una nueva característica en la última versión de macOS High Sierra que se ejecuta en segundo plano y comprueba cada semana para ver si una Mac está usando un firmware obsoleto. Si pasa la revision, los usuarios no verán ninguna diferencia. Si falla, se le pedirá a los usuarios que notifiquen a Apple.

“El nivel de seguridad que están aplicando a 10.13 [macOS High Sierra] es definitivamente un paso adelante para la seguridad de EFI en general”, dijo Smith.

Para leer esta nota en inglés, haga clic aquí