Gigabyte, uno de los mayores fabricantes de hardware del mundo, incluye en el
firmware de “cientos de modelos” de sus placas base una puerta trasera o
backdoor que durante el proceso de inicio del sistema es capaz de descargar y ejecutar
payloads de forma insegura, según ha descubierto el equipo de investigadores de firma de seguridad
Eclypsium. Esconder un programa en la UEFI (antes BIOS) de una placa base capaz de descargar e instalar software sin que el usuario se de cuenta es el sueño de cualquier atacante. Con su puerta trasera vulnerable incluida en millones de placas, Gigabyte les ha hecho el trabajo.
Según explica Eclypsium, cada vez que se reinicia un ordenador con una placa base Gigabyte afectada por la vulnerabilidad, el
firmware de la placa inicia un programa que se ejecuta en el PC y que sirve para descargar y ejecutar otro software como pueden ser las aplicaciones que fabricante taiwanés ofrece para ajustar la configuración de la placa. En principio este código oculto es inocuo y se limita a tareas de actualización, pero los investigadores descubrieron que está implantado de forma no segura, lo que podría permitir a un atacante usar esta vía para instalar malware en lugar de los programas oficiales de Gigabyte.
Debido a que el programa se activa desde el
firmware de la placa base, es decir, fuera del sistema operativo, es difícil que los usuarios puedan eliminarlo o incluso detectarlo.
La investigación de Eclypsium ha descubierto que hay 271 modelos de placas base Gigabyte con esta puerta trasera vulnerable, incluyendo productos de la marca Aorus, una división del fabricante taiwanés. Las placas afectadas van desde las que tienen soporte para procesadores Intel de 8ª generación y Zen 2 de AMD Ryzen, a todos los chipset hasta los Intel de de 13ª generación y Zen 4 de AMD Ryzen. Podéis encontrar una lista con todos los modelos de placa base que tienen una puerta trasera oculta y vulnerable en
este documento pdf.
Eclypsium ha dado a conocer la vulnerabilidad tras colaborar con Gigabyte, que actualmente se encuentra trabajando en una actualización del
firmware para tapar el fallo de seguridad. Independientemente del tiempo que tarde el fabricante encontrar y ofrecer una solución, el problema va para largo. A pesar de que cada vez es más sencillo actualizar el
firmware de una placa base y que la UEFI es un entorno mucho más amigable que la BIOS, este proceso sigue siendo algo fuera de lo normal para la inmensa mayoría de los usuarios. A ello debemos sumarle que posiblemente haya millones de afectados en todo el mundo.
Para minimizar el riesgo y más allá de recomendar la instalación del
firmware que tarde o temprano lanzará Gigabyte, Eclypsium aconseja deshabilitar la función de descarga e instalación del centro de aplicaciones en la configuración de la UEFI y establecer una contraseña para la BIOS. También se pueden bloquear las siguientes direcciones:
http://mb.download.gigabyte.com/FileLis ... iveUpdate4,
https://mb.download.gigabyte.com/FileLi ... iveUpdate4 y
https://software-nas/Swhttp/LiveUpdate4.
Fuente: wired