Investigadores en ciberseguridad han descubierto un comportamiento similar a una puerta trasera en los sistemas de Gigabyte, que les permite al firmware UEFI de los dispositivos colocar un archivo ejecutable de Windows y recuperar actualizaciones en un formato inseguro.
La empresa de seguridad de firmware, Eclypsium, informó que detectó esta anomalÃa por primera vez en abril de 2023. Gigabyte ha reconocido y solucionado el problema desde entonces. "La mayorÃa de los firmware de Gigabyte incluyen un ejecutable binario nativo de Windows incrustado dentro del firmware UEFI", dijo John Loucaides, vicepresidente senior de estrategia de Eclypsium, a The Hacker News.
"El ejecutable de Windows detectado se guarda en el disco y se ejecuta como parte del proceso de inicio de Windows, similar al ataque de agente doble de LoJack. Este ejecutable luego descarga y ejecuta binarios adicionales a través de métodos inseguros".
"Solo la intención del autor puede distinguir este tipo de vulnerabilidad de una puerta trasera maliciosa", agregó Loucaides. Según Eclypsium, el ejecutable está incrustado en el firmware UEFI y es escrito en el disco por el firmware como parte del proceso de arranque del sistema y posteriormente se inicia como un servicio de actualización.
La aplicación basada en .NET, por su parte, está configurada para descargar y ejecutar una carga útil desde los servidores de actualización de Gigabyte a través de HTTP sin cifrar, exponiendo asà el proceso a ataques de intermediarios comprometidos. Loucaides dijo que el software "parece haber sido diseñado como una aplicación de actualización legÃtima", señalando que el problema potencialmente afecta "alrededor de 364 sistemas de Gigabyte, con una estimación aproximada de 7 millones de dispositivos".
Dado que los actores de amenazas están constantemente buscando formas de pasar desapercibidos y dejar una huella mÃnima, las vulnerabilidades en el mecanismo de actualización privilegiado del firmware podrÃan allanar el camino para implantes de firmware sigilosos que pueden subvertir todos los controles de seguridad en el sistema operativo.
Para empeorar las cosas, dado que el código UEFI reside en la placa madre, el malware inyectado en el firmware puede persistir incluso si se formatean los discos y se reinstala el sistema operativo. Se aconseja a las organizaciones que apliquen las últimas actualizaciones de firmware para minimizar los riesgos potenciales. También se recomienda inspeccionar y desactivar la función "APP Center Download & Install" en la configuración de UEFI/BIOS y establecer una contraseña de BIOS para evitar cambios maliciosos.
"Las actualizaciones de firmware tienen una adopción notoriamente baja por parte de los usuarios finales", dijo Loucaides. "Por lo tanto, es fácil entender el pensamiento de que una aplicación de actualización en el firmware puede ayudar".
"Sin embargo, no se pierde la ironÃa de tener una aplicación de actualización altamente insegura, incorporada en el firmware para descargar y ejecutar automáticamente una carga útil".
¿Quieres saber más?