Los investigadores de seguridad cibernética han descubierto una posible vulnerabilidad de "comportamiento similar a una puerta trasera" en los sistemas de Gigabyte. Según la firma de seguridad de firmware Eclypsium, esta anomalía permitiría al firmware UEFI de los dispositivos lanzar un ejecutable de Windows y recuperar actualizaciones en un formato no seguro.
Eclypsium detectó por primera vez este problema en abril de 2023 y desde entonces Gigabyte ha reconocido y abordado la situación.
"La mayoría del firmware de Gigabyte incluye un ejecutable binario nativo de Windows integrado en el firmware UEFI", afirmó John Loucaides, vicepresidente senior de estrategia de Eclypsium, a The Hacker News.
"El ejecutable de Windows detectado se coloca en el disco y se ejecuta como parte del proceso de inicio de Windows, similar al ataque de doble agente de LoJack. Luego, este ejecutable descarga y ejecuta archivos binarios adicionales a través de métodos inseguros".
Loucaides agregó que solo la intención del autor podría distinguir esta vulnerabilidad de una puerta trasera maliciosa.
Según Eclypsium, el ejecutable está integrado en el firmware UEFI y se escribe en el disco como parte del proceso de arranque del sistema. Posteriormente, se inicia como un servicio de actualización.
Sin embargo, la aplicación basada en .NET está configurada para descargar y ejecutar una carga útil desde los servidores de actualización de Gigabyte a través de HTTP simple, lo que expone el proceso a ataques de adversario en el medio (AitM) a través de un enrutador comprometido.
Loucaides señaló que el software "parece haber sido concebido como una aplicación de actualización legítima" y advirtió que el problema podría afectar a "alrededor de 364 sistemas Gigabyte con una estimación aproximada de 7 millones de dispositivos".
Estas vulnerabilidades en el mecanismo de actualización de firmware privilegiado podrían facilitar la infiltración de bootkits e implantes sigilosos de UEFI, permitiendo a los actores de amenazas eludir los controles de seguridad del sistema operativo.
Dado que el código UEFI reside en la placa base, cualquier malware inyectado en el firmware puede persistir incluso si se borran las unidades y se reinstala el sistema operativo.
Se recomienda a las organizaciones que apliquen las últimas actualizaciones de firmware para minimizar los riesgos potenciales. Además, se aconseja inspeccionar y deshabilitar la función "Descarga e instalación del centro de aplicaciones" en la configuración de UEFI/BIOS, así como establecer una contraseña de BIOS para evitar cambios maliciosos.
Loucaides comentó: "Las actualizaciones de firmware tienen una aceptación notoriamente baja entre los usuarios finales. Por lo tanto, es fácil entender por qué se podría pensar que una aplicación de actualización en el firmware podría ayudar. Sin embargo, la ironía de una aplicación de actualización altamente insegura respaldada por firmware, que descarga y ejecuta automáticamente una carga útil, no se pierde".
