Cientos de modelos de placas base Gigabyte enviados con puerta trasera de firmware
Investigadores de la empresa de ciberseguridad Eclypsium descubrieron un mecanismo encubierto integrado en el firmware de las placas base Gigabyte, que se usan comúnmente en PC para juegos y computadoras de alto rendimiento. Cuando se reinicia una computadora con la placa base afectada, este código oculto activa un programa de actualización dentro del firmware. Posteriormente, el programa descarga y ejecuta software adicional en la computadora.
Si bien Gigabyte pretendía que este código oculto sirviera como una herramienta benigna para las actualizaciones de firmware, Eclypsium descubrió que se implementó de manera insegura. Esto crea una vulnerabilidad potencial que los atacantes podrían aprovechar para instalar malware en lugar del software previsto de Gigabyte. El hecho de que el programa de actualización se inicie desde el firmware de la computadora, fuera del sistema operativo, dificulta que los usuarios lo detecten o eliminen.
John Loucaides, líder de estrategia e investigación de Eclypsium, destaca la preocupación que los usuarios deberían tener con respecto a este comportamiento, ya que sus máquinas, sin saberlo, recuperan y ejecutan código de Internet sin las medidas de seguridad adecuadas. Él enfatiza que la idea de que un proceso subyacente tome el control de la máquina de un usuario sin su participación es inquietante para la mayoría de las personas.
Cientos de modelos de placas base afectados
En su publicación de blog, Eclypsium proporciona una lista de 271 modelos de placas base Gigabyte que se cree que están afectados. Loucaides sugiere que los usuarios pueden verificar qué placa base usa su computadora accediendo al menú "Inicio" en Windows y navegando a "Información del sistema".
La sola presencia del actualizador de Gigabyte podría generar preocupaciones para los usuarios que desconfían de que el fabricante instale silenciosamente el código en sus máquinas, especialmente considerando el punto de acceso oculto que proporciona en la cadena de suministro de software. Sin embargo, la investigación de Eclypsium revela que el propio mecanismo de actualización tiene importantes vulnerabilidades. Descarga el código a la máquina del usuario sin la autenticación adecuada, a veces a través de conexiones HTTP no seguras en lugar de HTTPS. Esto permite falsificar la fuente de instalación a través de un ataque de intermediario, como interceptar la conexión a Internet del usuario a través de una red Wi-Fi no autorizada.
En algunos casos, el actualizador instalado por el mecanismo de firmware de Gigabyte está configurado para descargarse desde un dispositivo de almacenamiento conectado a la red (NAS) local, una función diseñada principalmente para que las empresas administren actualizaciones de forma centralizada sin depender de conexiones a Internet para cada máquina. Sin embargo, Eclypsium advierte que los actores maliciosos en la misma red podrían manipular la ubicación del NAS para instalar subrepticiamente su propio malware.
Impacto potencial del problema
El descubrimiento de Eclypsium es preocupante debido al impacto potencial en millones de dispositivos. Rich Smith, director de seguridad de la startup de ciberseguridad Crash Override, centrada en la cadena de suministro, considera que la situación recuerda al escándalo del rootkit de Sony de mediados de la década de 2000. En ese caso, Sony ocultó el código de administración de derechos digitales en los CD, que se instaló de forma encubierta en las computadoras de los usuarios y creó una vulnerabilidad que los piratas informáticos aprovecharon para ocultar su malware. Smith establece un paralelo, afirmando que si bien Gigabyte puede haber adoptado las técnicas utilizadas por actores maliciosos, cruza una línea similar en el dominio del firmware.
