Los investigadores de seguridad cibernética han encontrado un «comportamiento similar a una puerta trasera» dentro de los sistemas Gigabyte, que dicen que permite que el firmware UEFI de los dispositivos suelte un ejecutable de Windows y recupere actualizaciones en un formato no seguro.
Empresa de seguridad de firmware Eclypsium dicho detectó la anomalía por primera vez en abril de 2023. Desde entonces, Gigabyte reconoció y abordó el problema.
«La mayoría del firmware de Gigabyte incluye un ejecutable binario nativo de Windows integrado en el firmware UEFI», dijo John Loucaides, vicepresidente senior de estrategia de Eclypsium, a The Hacker News.
«El ejecutable de Windows detectado se coloca en el disco y se ejecuta como parte del proceso de inicio de Windows, similar al Ataque de doble agente LoJack. Este ejecutable luego descarga y ejecuta archivos binarios adicionales a través de métodos inseguros».
«Solo la intención del autor puede distinguir este tipo de vulnerabilidad de una puerta trasera maliciosa», agregó Loucaides.
El ejecutable, según Eclypsium, está integrado en el firmware UEFI y el firmware lo escribe en el disco como parte del proceso de arranque del sistema y, posteriormente, se inicia como un servicio de actualización.
La aplicación basada en .NET, por su parte, está configurada para descargar y ejecutar una carga útil desde los servidores de actualización de Gigabyte a través de HTTP simple, lo que expone el proceso a ataques de adversario en el medio (AitM) a través de un enrutador comprometido.
Loucaides dijo que el software «parece haber sido pensado como un aplicación de actualización legítimay señaló que el problema tiene un impacto potencial en «alrededor de Sistemas de 364 Gigabytes con una estimación aproximada de 7 millones de dispositivos».
Dado que los actores de amenazas buscan constantemente formas de pasar desapercibidos y dejar una huella de intrusión mínima, las vulnerabilidades en el mecanismo de actualización de firmware privilegiado podrían allanar el camino para bootkits UEFI sigilosos y implantes que puede subvertir todos los controles de seguridad que se ejecutan en el plano del sistema operativo.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
Para empeorar las cosas, dado que el código UEFI reside en la placa base, el malware inyectado en el firmware puede persistir incluso si se borran las unidades y se reinstala el sistema operativo.
Se recomienda a las organizaciones que apliquen las últimas actualizaciones de firmware para minimizar los riesgos potenciales. También se recomienda inspeccionar y deshabilitar la función «Descarga e instalación del centro de aplicaciones» en la configuración de UEFI/BIOS y establecer una contraseña de BIOS para evitar cambios maliciosos.
«Las actualizaciones de firmware tienen una aceptación notoriamente baja entre los usuarios finales», dijo Loucaides. “Por lo tanto, es fácil de entender pensando que una aplicación de actualización en el firmware puede ayudar”.
«Sin embargo, la ironía de una aplicación de actualización altamente insegura, respaldada en firmware para descargar y ejecutar automáticamente una carga útil, no se pierde».