Se han vendido millones de placas base de PC con una puerta trasera de firmware – Ars Technica

El malware que se esconde en el firmware UEFI de una computadora, el código profundo que le dice a una computadora cómo cargar su sistema operativo, se ha convertido en un truco malicioso disfrazado en el conjunto de herramientas de los piratas informáticos. Pero cuando un fabricante de placas base instala su propia puerta trasera oculta en el firmware de millones de computadoras, y no coloca un bloqueo adecuado en esa puerta trasera oculta, prácticamente están haciendo el trabajo de los piratas informáticos por ellos.

Investigadores de la firma de seguridad cibernética centrada en firmware Eclypsium revelaron hoy que descubrieron un mecanismo oculto en el firmware de las placas base vendidas por el fabricante taiwanés Gigabyte, cuyos componentes se usan comúnmente en PC para juegos y otras PC de alto rendimiento. Cuando se reinicia una computadora con una placa base Gigabyte afectada, Eclypsium descubre que el código dentro del firmware de la placa base inicia de manera invisible un programa de actualización que se ejecuta en la computadora y, a su vez, descarga y ejecuta otro.

Si bien Eclypsium dice que el código oculto pretende ser una herramienta inofensiva para mantener actualizado el firmware de la placa base, los investigadores descubrieron que se ejecutó de manera insegura, lo que podría permitir que el mecanismo sea secuestrado y utilizado para instalar malware en lugar de lo previsto. Software Gigabyte. Y dado que el actualizador se ejecuta desde el firmware de la computadora, fuera de su sistema operativo, es difícil para los usuarios eliminarlo o incluso detectarlo.

dice John Lucidis, quien lidera la estrategia y la investigación en Eclypsium. «El concepto de trabajar con el usuario final y hacerse cargo de su dispositivo no le sienta bien a la mayoría de las personas».

en eso Publicación de blog sobre investigación.Eclypsium enumera 271 placas base GIGABYTE típicas que, según los investigadores, están afectadas. Loucaides agrega que los usuarios que desean saber qué placa base está usando una computadora pueden verificar yendo a Inicio de Windows y luego a Información del sistema.

Eclypsium dice que encontró el mecanismo de firmware oculto de Gigabyte mientras escaneaba las computadoras de los clientes en busca de código malicioso basado en firmware, una herramienta cada vez más popular utilizada por piratas informáticos sofisticados. En 2018, por ejemplo, los piratas informáticos que trabajaban en nombre de la agencia de inteligencia militar de Rusia, GRU, fueron sorprendidos instalando en silencio Software antirrobo basado en firmware LoJack en los dispositivos de las víctimas como táctica de espionaje. Los piratas informáticos patrocinados por el estado chino fueron descubiertos dos años después Reutilice una herramienta de spyware basada en firmware Fue creado por la firma de reclutamiento Hacking Team para apuntar a las computadoras de diplomáticos y personal de ONG en África, Asia y Europa. Los investigadores de Eclypsium se sorprendieron al ver escaneos automatizados que revelaron el mecanismo de actualización de Gigabyte para realizar algún comportamiento turbio, como herramientas de piratería patrocinadas por el estado, escondiéndose en el firmware e instalando software que descarga código de Internet de manera silenciosa.

El actualizador de Gigabyte por sí solo puede haber alarmado a los usuarios que no confían en que Gigabyte instale silenciosamente código en sus máquinas usando una herramienta casi invisible, o que temen que el mecanismo de Gigabyte pueda ser explotado por piratas informáticos que piratean un fabricante de placas base para explotar su acceso oculto en a Ataque a la cadena de suministro de software. Pero Eclypsium también descubrió que el mecanismo de actualización se implementó con evidentes agujeros de seguridad que podrían permitir que se viera comprometido: descarga código en la máquina de un usuario sin autenticarlo correctamente, a veces incluso a través de una conexión HTTP desprotegida, en lugar de HTTPS. Esto permitiría falsificar la fuente de instalación a través de un ataque man-in-the-middle realizado por cualquier persona que pudiera interceptar la conexión a Internet del usuario, como una red Wi-Fi falsificada.

En otros casos, el actualizador instalado por el mecanismo está configurado en el firmware de Gigabyte para descargarse desde un dispositivo de almacenamiento conectado a la red local (NAS), una función que parece diseñada para que las redes comerciales administren las actualizaciones sin que todas sus máquinas accedan a Internet. Pero Eclypsium advierte que, en estos casos, un actor malintencionado en la misma red podría hacerse pasar por el NAS para instalar de forma invisible su propio malware.

Eclypsium dice que está trabajando con Gigabyte para divulgar sus hallazgos al fabricante de la placa base y que Gigabyte dijo que planea solucionar los problemas. Gigabyte no respondió a las múltiples solicitudes de comentarios de WIRED sobre los resultados de Eclypsium.

Incluso si Gigabyte soluciona su propio problema de firmware, después de todo, el problema se deriva de una herramienta de Gigabyte destinada a automatizar las actualizaciones de firmware. Loucaides de Eclypsium señala que las actualizaciones de firmware son frecuentes. Abortar silenciosamente en las máquinas de los usuarios, en muchos casos por su complejidad y dificultad para hacer coincidir el firmware y el hardware. «Sigo pensando que esto terminará siendo un problema bastante generalizado en las placas Gigabyte en los próximos años», dice Loucaides.

Dados los millones de dispositivos potencialmente afectados, el descubrimiento de Eclypsium es «alarmante», dice Rich Smith, director de seguridad de la startup de ciberseguridad Crash Override, centrada en la cadena de suministro. Smith publicó una búsqueda de vulnerabilidades de firmware y revisó los resultados de Eclypsium. Compara la situación con el escándalo del rootkit de Sony de mediados de la década de 2000. Sony ocultó el código DRM en los CD que se instalaron de forma invisible en las computadoras de los usuarios, creando así una vulnerabilidad que los piratas informáticos usaron para ocultar su malware. «Puedes usar técnicas que han sido utilizadas tradicionalmente por actores maliciosos, pero eso no era aceptable, fue demasiado lejos», dice Smith. «No puedo explicar por qué Gigabyte eligió este método para entregar su software. Pero para mí, esto se siente como cruzar una línea similar en el espacio del firmware».

Smith reconoce que es posible que Gigabyte no haya tenido intenciones maliciosas o engañosas en la herramienta de firmware oculta. Pero al dejar las vulnerabilidades en el código invisible que se encuentra debajo del sistema operativo de muchas computadoras, erosionan una capa esencial de la confianza de los usuarios en su hardware. «No hay intención aquí, solo suciedad. Pero no quiero que nadie escriba mi firmware sucio”, dice Smith. «Si no confías en tu firmware, estás construyendo tu casa en la arena».

Esta historia apareció originalmente Wired.com.