No es un buen momento para ser fabricante de placas base. Primero, Asus corre el riesgo de quemar su procesador Ryzen con configuraciones de voltaje demasiado agresivas en su firmware (incluso la supuesta ‘solución’) y ahora se acusa a Gigabyte de usar el mismo tipo de técnicas de puerta trasera que los «actores de amenazas» que buscan piratear sistemas.
La vulnerabilidad ha sido descubierta por la empresa de seguridad Eclypsium (a través de Wired) y apunta a millones de placas base Gigabyte en la naturaleza con el mismo mecanismo invisible de actualización de firmware.
«Estamos trabajando con Gigabyte para abordar esta implementación insegura de la capacidad de su centro de aplicaciones», se lee en su informe. «Con el interés de proteger a las organizaciones de los actores maliciosos, también estamos divulgando públicamente esta información y estrategias defensivas en una línea de tiempo más acelerada que la divulgación de una vulnerabilidad típica».
Eclypsium ha publicado una lista de las placas base afectadas (advertencia en pdf), pero básicamente si tiene una placa base Gigabyte moderna, es probable que su placa madre actual esté en esta extensa lista. Según los informes, hay 271 modelos diferentes en la lista, pero no los he contado porque el archivo pdf ocupa tres páginas y tres columnas con un tipo de letra bastante pequeño. Basta con decir que son muchos tableros.
Tampoco importa si está ejecutando un sistema AMD o Intel; la vulnerabilidad afecta a ambas plataformas.
En teoría, todo lo que se necesitaría es que alguien en la misma red que su máquina interceptara el actualizador inseguro de Gigabyte y lo señalara a una URL diferente a los repositorios de firmware estándar. Una de las peores partes de esto es que, de las tres posibles ubicaciones de descarga, una de ellas usa una dirección HTTP simple, no el HTTP mucho más seguro.S.
Eclypsium ha declarado que actualmente no cree que haya habido una explotación activa de la vulnerabilidad, pero que «una puerta trasera activa generalizada que es difícil de eliminar plantea un riesgo en la cadena de suministro para las organizaciones con sistemas Gigabyte».
Enumera el riesgo potencial y el impacto de la siguiente manera:
- Abuso de una puerta trasera OEM por parte de los actores de amenazas: Previamente, los actores de amenazas se han aprovechado del software de «puerta trasera OEM» legítimo pero inseguro/vulnerable integrado en el firmware de las PC. En particular, el grupo Sednit (APT28, FancyBear) explotó Computrace LoJack para hacerse pasar por una característica legítima antirrobo de computadoras portátiles.
- Compromiso de la infraestructura de actualización del OEM y la cadena de suministro: Gigabyte tiene documentación en su sitio web para esta función, por lo que puede ser legítimo, pero no podemos confirmar lo que está sucediendo dentro de Gigabyte. En agosto de 2021, Gigabyte experimentó una violación de datos críticos por parte del grupo RansomEXX y luego experimentó otra violación en octubre de 2021 por parte del grupo AvosLocker.
- Persistencia usando Rootkits e Implantes UEFI: Los rootkits e implantes UEFI son algunas de las formas de malware más sigilosas y poderosas que existen. Residen en el firmware de las placas base o dentro de las particiones del sistema EFI de los medios de almacenamiento, y se ejecutan antes que el sistema operativo, lo que les permite subvertir por completo el sistema operativo y los controles de seguridad que se ejecutan en capas superiores. Además, dado que la mayor parte del código UEFI existe en la placa base en lugar de en las unidades de almacenamiento, las amenazas UEFI persistirán fácilmente incluso si se borran las unidades y se reinstala el sistema operativo. La tasa de descubrimiento de nuevos rootkits UEFI se ha acelerado considerablemente en los últimos años, como lo demuestra el descubrimiento de LoJax (2018), MosaicRegressor (2020), FinSpy (2021), ESPecter (2021), MoonBounce (2022), CosmicStrand (2022) y Loto Negro (2023). La mayoría de estos se utilizaron para permitir la persistencia de otro malware basado en el sistema operativo. Estas imágenes de firmware de Gigabyte y el ejecutable de Windows persistentemente descartado permiten el mismo escenario de ataque. A menudo, los implantes anteriores hacían que sus ejecutables nativos de Windows parecieran herramientas de actualización legítimas. En el caso de MosaicRegressor, la carga útil de Windows se denominó «IntelUpdater.exe».
- Ataques MITM a las funciones de actualización de firmware y software: Además, la naturaleza insegura del proceso de actualización abre la puerta a las técnicas MITM a través de un enrutador comprometido, un dispositivo comprometido en el mismo segmento de red, envenenamiento de DNS u otra manipulación de la red. También es importante tener en cuenta que la tercera opción de conexión, https://software-nas/Swhttp/LiveUpdate4, no es un nombre de dominio completo, sino un nombre de máquina que presumiblemente estaría en la red local. Esto significa que un atacante en una subred local podría engañar al implante para que se conecte a su sistema, sin necesidad de falsificación de DNS.
- Riesgo continuo debido a un comportamiento no deseado dentro del firmware oficial: Las puertas traseras ocultas dentro de UEFI u otro firmware pueden ser difíciles de eliminar. Incluso si se elimina el ejecutable de la puerta trasera, el firmware simplemente lo dejará caer la próxima vez que se inicie el sistema. Este desafío se demostró antes al intentar eliminar las herramientas Computrace LoJack y Superfish de las computadoras portátiles Lenovo.
Todo tiene lugar durante el proceso de inicio de Windows, donde el actualizador de Gigabyte, sin ninguna intervención del usuario, puede apagarse, descargar y luego ejecutar cargas útiles desde diferentes ubicaciones en Internet.
El hecho de que una de esas ubicaciones esté en una dirección HTTP insegura hace que se vea fácilmente comprometida por el llamado ataque Machine-in-the-middle. Aunque Eclypsium también señala que, incluso en las ubicaciones HTTPS, la validación del certificado remoto real (la parte que teóricamente debería hacerlo más seguro) no se implementa correctamente, lo que también los hace vulnerables al mismo tipo de ataque.
Es un poco una pesadilla de seguridad si está ejecutando una organización en sistemas basados en Gigabyte, aunque podría decirse que es una preocupación menor para los jugadores de PC en solitario. Pero aún no es una buena sensación saber que una red Wi-Fi insegura podría hacer que cualquier cosa se cargue en su máquina sin que usted sepa nada al respecto.
La solución recomendada
Lo más importante que puede hacer al respecto para ayudar a proteger su máquina personal es profundizar en el BIOS de su PC y deshabilitar la función ‘Descargar e instalar del Centro de aplicaciones’. También puede establecer una contraseña de BIOS, lo que también ayudará a evitar cambios futuros que no haya elegido realizar.
Puede ingresar a su BIOS usando el martilleo habitual de las teclas Supr o F2 durante esa breve ventana de inicio o, alternativamente, reiniciar su PC desde Windows mientras mantiene presionada la tecla Shift. Eso lo llevará a una pantalla de opciones de inicio donde puede ingresar a su UEFI BIOS.
Nos comunicamos con Gigabyte para obtener comentarios y lo actualizaremos tan pronto como tengamos noticias.