Agencias, Ciudad de México.- Investigadores han descubierto un fallo de seguridad en las placas base de Gigabyte, identificando puertas traseras en el Centro de Aplicaciones, una función para descargar y ejecutar ‘software’ al reiniciar el ordenador, que los actores maliciosos pueden aprovechar para instalar ‘malware’ en los ordenadores.
Las puertas traseras o agujeros de seguridad hacen referencia a fallos que permiten evitar las medidas de seguridad de los sistemas informáticos. En este sentido, los ciberdelincuentes hacen uso de estos fallos para llevar a cabo operaciones de manera no supervisada, como infectar el dispositivo con ‘malware’ o robar datos.
En este caso, investigadores de Eclypsium han descubierto un fallo de seguridad en las placas base de Gigabyte que los actores maliciosos podrían aprovechar para almacenar ‘software’ en el ‘firmware’ UEFI de la placa base.
El ‘firmware’ UEFI es la tecnología que permite que el ordenador se encienda. Por ello, este fallo podría suponer un gran problema de seguridad, ya que se podría instalar un ‘software’ malicioso en el componente que permite y dirige el inicio de sesión del sistema operativo del ordenador. Es decir, se podría instalar ‘malware’ antes de que el sistema operativo pudiera identificarlo con protecciones o antivirus.
Tal y como han explicado desde Eclypsium en un comunicado en su página web, sus análisis de seguimiento pudieron comprobar que el ‘firmware’ en los sistemas Gigabyte estaban descargando y ejecutando “un ejecutable nativo de Windows”, durante el proceso de inicio de sistema. Tras ello, ese mismo ejecutable se encarga de descargar y activar “cargas útiles adicionales de manera insegura”.
Más concretamente, las puertas traseras que podrían permitir la instalación de ‘software’ en el ‘firmware’ UEFI, se han encontrado en la función Centro de Aplicaciones, una herramienta para descargar y ejecutar ‘software’ al reiniciar el ordenador y, por tanto, antes de que el sistema operativo se lance.
Following our research about #Gigabyte last week & many requests, we've published a simple script to help determe if a particular system is affected. We've also updated the list of affected Gigabyte models. Both are now available on our blog. https://t.co/Lfvvg3qZPy
— Eclypsium (@eclypsium) June 7, 2023
Tal y como explican los investigadores, los actores maliciosos aprovechan estos agujeros en el Centro de Aplicaciones para instalar ‘software’ malicioso antes de cargar el sistema operativo, lo que lo hace indetectable para antivirus y muy difícil de eliminar.
Según lo analizado, se ha encontrado que este mismo código está presente en “cientos de modelos de PC Gigabyte”. Al respecto, desde Eclypsium han subrayado que están trabajando con la firma tecnológica para “abordar esta implementación insegura de la capacidad del Centro de aplicaciones”.
No obstante, también han señalado que, por el momento, la investigación en curso no ha confirmado la explotación por parte de un actor de amenazas específico. Sin embargo, sí han advertido de que “una puerta trasera generalizada activa que es difícil de eliminar representa un riesgo en la cadena de suministro para las organizaciones con sistemas Gigabyte”.
Por su parte, desde Gigabyte han trasladado que mantienen el compromiso de fomentar una “estrecha colaboración con las unidades relevantes”, así como implementar medidas de seguridad sólidas para “proteger a los usuarios”.
Al respecto, tal y como ha explicado la compañía tecnológica en un comunicado en su web, su equipo de ingenieros ha “mitigado los riesgos potenciales” y ha subido el nuevo BIOS Beta de las series Intel 700/600 y AMD 500/400 al sitio web oficial, tras “realizar pruebas y validaciones exhaustivas” en las placas base de la firma tecnológica.
Igualmente, han fortalecido la seguridad del sistema implementando controles de seguridad “más estrictos” durante el proceso de inicio del sistema operativo para poder prevenir posibles actividades maliciosas.
GIGABYTE Fortifies System Security with Latest BIOS Updates and Enhanced Verification https://t.co/UCscMdU1Nr
— Red Lights For Firefighters LLC (@RedLights4FF) June 3, 2023
Estas medidas de seguridad son, por un lado, la verificación de firma, lo que refuerza el proceso de validación de archivos descargados en servidores remotos y, por tanto, no permite insertar código malicioso.
Por otro lado, han limitado los accesos privilegiados. Con ello, se garantiza que los archivos se descarguen exclusivamente de servidores con certificados “válidos y confiables”, tal y como han desarrollado desde Gigabyte.
Además de todo ello, de cara a utilizar sistemas Gigabyte o sistemas con placa base que pudieran estar afectados, desde Eclypsium recomiendan algunas medidas de seguridad para evitar infecciones.
En primer lugar, han señalado la importancia de escanear y supervisar los sistemas y las actualizaciones de ‘firmware’ para detectar sistemas afectados. Asimismo, se deberá actualizar el sistema al último ‘firmware’ y ‘software’ validados.
Otra medida a tener en cuenta es desactivar la función ‘Descarga e instalación’ del Centro de Aplicaciones. Para ello, se deberá seleccionar en la configuración de UEFI en los sistemas Gigabyte.
Finalmente, Eclypsium también recomienda a los administradores bloquear las URL ‘http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4‘, ‘https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4‘ y ‘https://software-nas/Swhttp/LiveUpdate4‘.
Actualmente, este fallo continúa investigándose para descubrir cualquier signo de actividad maliciosa relacionada.
My motherboard isn't on this list of affected Gigabyte mobos. Weird, since I always thought they were the same thing, with added stuff: https://t.co/v1rxAEYxxo pic.twitter.com/K3CRpcViSP
— Leonel Castellano (LaczPro19) (@Lacz19) June 1, 2023