Se vendieron millones de placas base Gigabyte con una puerta trasera de firmware

Dec 14, 2023

Andy Greenberg

Ocultar programas maliciosos en el firmware UEFI de una computadora, el código profundamente arraigado que le dice a una PC cómo cargar su sistema operativo, se ha convertido en un truco insidioso en el conjunto de herramientas de los piratas informáticos sigilosos. Pero cuando un fabricante de placas base instala su propia puerta trasera oculta en el firmware de millones de computadoras, y ni siquiera coloca un candado adecuado en esa entrada trasera oculta, prácticamente están haciendo el trabajo de los piratas informáticos por ellos.

Investigadores de la empresa de ciberseguridad centrada en firmware Eclypsium revelaron hoy que descubrieron un mecanismo oculto en el firmware de las placas base vendidas por el fabricante taiwanés Gigabyte, cuyos componentes se usan comúnmente en PC para juegos y otras computadoras de alto rendimiento. Cada vez que se reinicia una computadora con la placa base Gigabyte afectada, descubrió Eclypsium, el código dentro del firmware de la placa base inicia de manera invisible un programa de actualización que se ejecuta en la computadora y, a su vez, descarga y ejecuta otra pieza de software.

Si bien Eclypsium dice que el código oculto está destinado a ser una herramienta inocua para mantener actualizado el firmware de la placa base, los investigadores descubrieron que se implementa de manera insegura, lo que podría permitir que el mecanismo sea secuestrado y utilizado para instalar malware en lugar del programa previsto por Gigabyte. Y debido a que el programa de actualización se activa desde el firmware de la computadora, fuera de su sistema operativo, es difícil para los usuarios eliminarlo o incluso descubrirlo.

"Si tiene una de estas máquinas, debe preocuparse por el hecho de que básicamente toma algo de Internet y lo ejecuta sin que usted esté involucrado, y no ha hecho nada de esto de forma segura", dice John Loucaides, quien dirige la estrategia. e investigación en Eclypsium. "El concepto de pasar por debajo del usuario final y hacerse cargo de su máquina no le sienta bien a la mayoría de las personas".

En su publicación de blog sobre la investigación, Eclypsium enumera 271 modelos de placas base Gigabyte que, según los investigadores, están afectados. Loucaides agrega que los usuarios que desean ver qué placa base usa su computadora pueden verificar yendo a "Inicio" en Windows y luego a "Información del sistema".

Eclypsium dice que encontró el mecanismo de firmware oculto de Gigabyte mientras revisaba las computadoras de los clientes en busca de código malicioso basado en firmware, una herramienta cada vez más común empleada por piratas informáticos sofisticados. En 2018, por ejemplo, se descubrió que los piratas informáticos que trabajaban en nombre de la agencia de inteligencia militar GRU de Rusia instalaron silenciosamente el software antirrobo basado en firmware LoJack en las máquinas de las víctimas como una táctica de espionaje. Los piratas informáticos patrocinados por el estado chino fueron descubiertos dos años después reutilizando una herramienta de spyware basada en firmware creada por la firma de hackers contratados Hacking Team para apuntar a las computadoras de diplomáticos y personal de ONG en África, Asia y Europa. Los investigadores de Eclypsium se sorprendieron al ver que sus escaneos de detección automatizados marcan el mecanismo de actualización de Gigabyte por llevar a cabo algunos de los mismos comportamientos turbios que esas herramientas de piratería patrocinadas por el estado: ocultarse en el firmware e instalar silenciosamente un programa que descarga código de Internet.

lauren goode

Personal CABLEADO

Brenda Stolyar

Will caballero

El actualizador de Gigabyte por sí solo podría haber despertado la preocupación de los usuarios que no confían en que Gigabyte instale silenciosamente el código en su máquina con una herramienta casi invisible, o que se preocupen de que los piratas informáticos puedan explotar el mecanismo de Gigabyte y comprometer al fabricante de la placa base para explotar su acceso oculto en un ataque a la cadena de suministro de software. Pero Eclypsium también descubrió que el mecanismo de actualización se implementó con vulnerabilidades evidentes que podrían permitir que fuera secuestrado: descarga el código en la máquina del usuario sin autenticarlo correctamente, a veces incluso a través de una conexión HTTP desprotegida, en lugar de HTTPS. Esto permitiría que la fuente de la instalación sea suplantada por un ataque man-in-the-middle llevado a cabo por cualquier persona que pueda interceptar la conexión a Internet del usuario, como una red Wi-Fi no autorizada.

En otros casos, el actualizador instalado por el mecanismo en el firmware de Gigabyte está configurado para descargarse desde un dispositivo de almacenamiento conectado a la red local (NAS), una característica que parece estar diseñada para que las redes comerciales administren actualizaciones sin que todas sus máquinas se comuniquen. a la Internet. Pero Eclypsium advierte que, en esos casos, un actor malintencionado en la misma red podría falsificar la ubicación del NAS para instalar invisiblemente su propio malware en su lugar.

Eclypsium dice que ha estado trabajando con Gigabyte para divulgar sus hallazgos al fabricante de la placa base y que Gigabyte ha dicho que planea solucionar los problemas. Gigabyte no respondió a las múltiples solicitudes de comentarios de WIRED sobre los hallazgos de Eclypsium.

Incluso si Gigabyte ofrece una solución para su problema de firmware (después de todo, el problema proviene de una herramienta de Gigabyte destinada a automatizar las actualizaciones de firmware), Loucaides de Eclypsium señala que las actualizaciones de firmware a menudo abortan silenciosamente en las máquinas de los usuarios, en muchos casos debido a su complejidad y la dificultad de hacer coincidir el firmware y el hardware. "Sigo pensando que esto terminará siendo un problema bastante generalizado en las placas Gigabyte en los próximos años", dice Loucaides.

Dados los millones de dispositivos potencialmente afectados, el descubrimiento de Eclypsium es "preocupante", dice Rich Smith, quien es el director de seguridad de la startup de seguridad cibernética centrada en la cadena de suministro, Crash Override. Smith ha publicado investigaciones sobre vulnerabilidades de firmware y revisó los hallazgos de Eclypsium. Compara la situación con el escándalo del rootkit de Sony de mediados de la década de 2000. Sony había ocultado un código de administración de derechos digitales en los CD que se instalaba de manera invisible en las computadoras de los usuarios y, al hacerlo, creaba una vulnerabilidad que los piratas informáticos usaban para ocultar su malware. "Puedes usar técnicas que tradicionalmente han sido utilizadas por actores malintencionados, pero eso no era aceptable, se pasó de la raya", dice Smith. "No puedo explicar por qué Gigabyte eligió este método para entregar su software. Pero para mí, parece que cruza una línea similar en el espacio del firmware".

Smith reconoce que Gigabyte probablemente no tuvo intenciones maliciosas o engañosas en su herramienta de firmware oculta. Pero al dejar vulnerabilidades de seguridad en el código invisible que se encuentra debajo del sistema operativo de tantas computadoras, se erosiona una capa fundamental de confianza que los usuarios tienen en sus máquinas. "Aquí no hay intención, solo descuido. Pero no quiero que nadie escriba mi firmware con descuido", dice Smith. "Si no confías en tu firmware, estás construyendo tu casa sobre arena".