Eclypsium, una empresa de ciberseguridad especializada en firmware, ha descubierto una puerta trasera oculta en varias placas base Gigabyte que puede provocar la instalación de malware en su sistema.
Varias placas base Gigabyte vienen con una puerta trasera maliciosa, que puede generar vulnerabilidades
El firmware contiene un código que, durante el inicio del sistema, inicia un software de actualización que, si es necesario, se conecta a Internet y descarga la versión más reciente del firmware para la placa base. Eclypsium indicó que la implementación de Gigabyte es peligrosa y que los piratas informáticos pueden usar la vulnerabilidad para infectar la PC de la víctima con malware. Eliminar el actualizador no es una opción aquí, ya que está en el firmware de la placa base.
La falla se identificó en un programa de inicio de Windows que intentaba actualizar el firmware UEFI. Este ejecutable descargó el software de un servidor Gigabyte inseguro y lo instaló sin la autenticación adecuada. Según la publicación del blog de investigación, esta falla de seguridad podría permitir que los piratas informáticos aprovechen la puerta trasera OEM para instalar software malicioso como implantes, ya sea directamente en la computadora de un usuario o infiltrándose en el servidor de Gigabyte.
Según Eclypsium, el actualizador descarga el código a la PC del usuario sin la autenticación requerida. No utiliza ninguna técnica de validación adicional ni verificación de firma digital criptográfica. En consecuencia, las conexiones web son propensas a los ataques Machine-in-the-Middle (MITM), lo que compromete la transferencia de datos con el servidor de Gigabyte.
Eclypsium descubrió que el actualizador no solo podía acceder a Internet, sino también a un dispositivo NAS (almacenamiento conectado a la red) local para actualizaciones de firmware, lo que también podría provocar ataques de suplantación de identidad. La investigación de la firma revela que la aplicación de actualización de Gigabyte interactúa con tres sitios web separados para actualizaciones de firmware:
- http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://software-nas/Swhttp/LiveUpdate4
La firma también ha mencionado una extensa lista de los modelos afectados. La lista contiene varias placas base Gigabyte con modelos más antiguos, como la serie AMD-400, que se están viendo muy afectados; sin embargo, el problema no parece venir con los modelos más nuevos de la serie AMD-600 y la serie Intel-700.
Si está preocupado por este problema, no debería hacerlo, ya que Gigabyte lo respalda. La compañía ha lanzado una nueva actualización de BIOS para fortalecer el proceso de verificación. Esto es lo que la compañía ha cambiado:
- Verificación de firma: GIGABYTE ha reforzado el proceso de validación de archivos descargados de servidores remotos. Esta verificación mejorada asegura la integridad y legitimidad de los contenidos, frustrando cualquier intento de los atacantes de insertar código malicioso.
- Limitaciones de acceso privilegiado: GIGABYTE ha habilitado la verificación criptográfica estándar de certificados de servidor remoto. Esto garantiza que los archivos se descarguen exclusivamente de servidores con certificados válidos y confiables, lo que garantiza una capa adicional de protección.
Aunque Gigabyte no mencionó que la actualización del BIOS es para solucionar el problema de la puerta trasera, los cambios sugieren que Gigabyte notó el problema. Gigabyte también ha lanzado la actualización del BIOS para placas base más antiguas, como las series Intel 500/400 y AMD 600, por lo que cubre la mayor parte de su base de consumidores.
Además de la actualización del BIOS de Gigabyte, Eclypsium ha proporcionado algunas correcciones temporales si desea obtener resultados inmediatos. La firma sugiere que los usuarios deshabiliten la función «Descargar e instalar del Centro de aplicaciones» dentro del firmware de la placa base para evitar que las actualizaciones se instalen automáticamente. Los usuarios pueden configurar una contraseña a nivel de BIOS para mayor seguridad para detener la actividad no deseada. También puede bloquear los tres sitios web mencionados anteriormente para evitar que su actualizador acceda a ellos.