Actualización 01/06/2022 7:00 p. m. PT: Gigabyte ha implementado un nuevo firmware que mitiga las puertas traseras del firmware. Las actualizaciones de firmware, que están disponibles en el sitio web oficial de Gigabyte, están en línea para que los consumidores las descarguen y actualicen su placa base.
Artículo original
La empresa de ciberseguridad Eclypsium ha descubierto una puerta trasera en el firmware de Gigabyte que pone en riesgo 271 placas base diferentes. Estos incluyen modelos con conjuntos de chips Intel y AMD de los últimos años, hasta los modelos Z790 y X670 actuales. La vulnerabilidad reside en un pequeño programa de actualización que emplea Gigabyte para garantizar que el firmware de la placa base esté siempre actualizado. Aparentemente, lo está haciendo a través de una implementación no segura.
¿Alguna vez ha notado que después de una instalación limpia de Windows, aparece un programa que le ofrece descargar el último controlador o firmware? Desafortunadamente, ese pequeño fragmento de código podría proporcionar una puerta trasera para los delincuentes.
Cada vez que se reinicia el sistema, un fragmento de código dentro del firmware inicia un programa de actualización que se conecta a Internet para comprobar y descargar el firmware más reciente para la placa base. Eclypsium evaluó que la implementación de Gigabyte no es segura y que los ciberdelincuentes pueden usar el exploit para instalar malware en el sistema de la víctima. El gran problema es que el programa de actualización reside dentro del firmware de la placa base, por lo que los consumidores no pueden eliminarlo fácilmente.
Gigabyte no es el único proveedor que usa este tipo de programa para facilitar las actualizaciones de firmware. Otros fabricantes de placas base utilizan un método similar, lo que plantea la cuestión de si alguno de ellos es seguro. Por ejemplo, el software Armory Crate de Asus funciona de manera similar al App Center de Gigabyte. De acuerdo con los hallazgos de Eclypsium, el programa de actualización de Gigabyte hace ping a tres sitios diferentes para obtener actualizaciones de firmware:
- http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://software-nas/Swhttp/LiveUpdate4
Eclypsium evaluó que el actualizador descarga el código en el sistema del usuario sin la autenticación adecuada. No utiliza ninguna verificación de firma digital criptográfica u otros métodos de validación. Como resultado, las conexiones HTTP y HTTPS son vulnerables a los ataques Machine-in-the-middle (MITM), siendo las primeras más susceptibles que las segundas. Además de conectarse a Internet, Eclypsium también descubrió que el actualizador podía descargar actualizaciones de firmware desde un dispositivo NAS dentro de la red local. De manera similar, un actor malicioso puede suplantar el NAS e infectar a la víctima con spyware.
El actualizador es una herramienta estándar entre las placas base Gigabyte. Eclypsium ha elaborado una extensa lista de los modelos afectados. Hay hasta 271 placas base en la lista, que consisten en placas base Intel y AMD. Algunos modelos se remontan a los conjuntos de chips de la serie AMD 400. Sin embargo, ni siquiera las últimas placas base de la serie Intel 700 o AMD 600 son seguras.
Eclypsium ya ha compartido sus descubrimientos con Gigabyte, y el proveedor de la placa base está trabajando en una solución para abordar la vulnerabilidad. Irónicamente, es probable que la solución llegue en un firmware actualizado. Mientras tanto, los propietarios de placas base Gigabyte pueden tomar algunas medidas para proteger sus sistemas.
Eclypsium recomienda a los usuarios que deshabiliten la función «Descargar e instalar del Centro de aplicaciones» dentro del firmware de la placa base. La opción es lo que inicia el actualizador. En buena medida, los usuarios pueden implementar una contraseña a nivel de BIOS para evitar actividades maliciosas no deseadas. Por último, pero no menos importante, los usuarios pueden bloquear los tres sitios que contacta el actualizador.