Millones de placas base para PC vendidas a través de software Backdoor Ars Technica

Ocultar malware en el firmware UEFI de una computadora, el código profundamente incrustado que le dice a una computadora cómo cargar su sistema operativo, se ha convertido en un truco furtivo en la caja de herramientas de un pirata informático sigiloso. Pero cuando un fabricante de placas base coloca su propia puerta trasera oculta en el firmware de millones de computadoras, y ni siquiera coloca un bloqueo adecuado en esa puerta trasera oculta, prácticamente están haciendo el trabajo de los piratas informáticos por ellos.

Investigadores de la firma de ciberseguridad centrada en software Eclypsium revelaron hoy que descubrieron un mecanismo oculto en el firmware de las placas base vendidas por el fabricante taiwanés Gigabyte, cuyos componentes se usan comúnmente en PC para juegos y otras computadoras de alto rendimiento. Cada vez que se reinicia una computadora con una placa base Gigabyte dañada, Eclypsium descubre que el código de firmware de la placa base inicia de manera invisible una actualización que se ejecuta en la computadora y, a su vez, descarga y ejecuta otra pieza de software.

Si bien Eclypsium dice que el código oculto pretende ser una herramienta inofensiva para actualizar el firmware de la placa base, los investigadores descubrieron que se implementa de manera insegura, lo que podría permitir que el mecanismo sea secuestrado y utilizado para instalar malware en lugar del software previsto por Gigabyte: Y debido a que el actualizador se ejecuta desde el firmware de una computadora, fuera de su sistema operativo, es difícil que los usuarios lo eliminen o incluso lo detecten.

«Si tiene una de estas máquinas, debe preocuparse por el hecho de que básicamente está sacando algo de Internet y ejecutándolo sin su participación, y no ha hecho ninguna de estas cosas de forma segura», dijo John Loukaides, que maneja la estrategia. e investigación en Eclypsium. «La idea de pasar por debajo del usuario final y hacerse cargo de su automóvil no le sienta bien a la mayoría de las personas».

En si mismo publicación de blog sobre la investigaciónEclypsium enumera 271 modelos de placas base Gigabyte que, según los investigadores, están afectados. Loucaides agrega que los usuarios que desean ver qué placa base está usando su computadora pueden verificar yendo a Inicio en Windows y luego a Información del sistema.

Eclypsium dice que encontró el mecanismo de firmware oculto de Gigabyte mientras escaneaba las computadoras de los clientes en busca de código malicioso basado en firmware, una herramienta cada vez más común utilizada por piratas informáticos sofisticados. En 2018, por ejemplo, los piratas informáticos que trabajaban en nombre de la agencia de inteligencia militar GRU de Rusia instalaron silenciosamente Software antirrobo LoJack basado en firmware en los automóviles de las víctimas como táctica de espionaje. Los piratas informáticos patrocinados por el estado chino fueron descubiertos dos años después desarrollo de spyware basado en firmware creado por Hacking Team, una empresa de hacking a sueldo, para apuntar a las computadoras de diplomáticos y personal de ONG en África, Asia y Europa. Los investigadores de Eclypsium se sorprendieron al descubrir que sus escaneos de detección automática señalaron que el motor de actualización de Gigabyte se comportaba de la misma manera sombría que las herramientas de piratería patrocinadas por el estado;

La actualización de Gigabyte por sí sola podría ser una preocupación para los usuarios que no confían en que Gigabyte instale silenciosamente código en su máquina con una herramienta casi invisible, o que se preocupan de que el mecanismo de Gigabyte pueda ser explotado por piratas informáticos que corren el riesgo de obligar al fabricante de la placa base a explotar su código oculto. acceso. a ataque a la cadena de suministro de software. Pero Eclypsium también descubrió que el mecanismo de actualización se implementó con aparentes vulnerabilidades que podrían permitir su secuestro; descarga código a la máquina de un usuario sin autenticarlo, a veces incluso a través de una conexión HTTP insegura en lugar de HTTPS. Esto permitiría falsificar la fuente de instalación a través de un ataque de hombre en el medio por parte de cualquier persona que pueda espiar la conexión a Internet del usuario, como una red Wi-Fi no autorizada.

En otros casos, el actualizador basado en firmware de Gigabyte está configurado para descargar desde un dispositivo de almacenamiento conectado a la red (NAS) local, una característica aparentemente diseñada para que las redes comerciales administren las actualizaciones sin tener que comunicarse con todas sus máquinas. a la Internet. Pero Eclypsium advierte que, en esos casos, un jugador malicioso en la misma red podría falsificar la ubicación del NAS para instalar invisiblemente su propio malware en su lugar.

Eclypsium dice que trabajó con Gigabyte para informar sus hallazgos al fabricante de la placa base y que Gigabyte dijo que planea solucionar los problemas. Gigabyte no respondió a las múltiples solicitudes de comentarios de WIRED sobre los hallazgos de Eclypsium.

Incluso si Gigabyte corrige su propio firmware, el problema en última instancia proviene de una herramienta de Gigabyte diseñada para automatizar las actualizaciones de firmware, Loucaides de Eclypsium señala que el firmware se actualiza con frecuencia. interrupción silenciosa en las máquinas de los usuarios, en muchos casos por su complejidad y la dificultad de compatibilidad entre firmware y hardware. «Todavía creo que esto terminará siendo un problema bastante generalizado en las placas Gigabyte en los próximos años», dice Loukaides.

Dados los millones de dispositivos potencialmente afectados, el descubrimiento de Eclypsium es «inquietante», dijo Rich Smith, director de seguridad de Crash Override, una startup de ciberseguridad centrada en la cadena de suministro. Smith publicó una investigación sobre la vulnerabilidad del firmware y revisó los hallazgos de Eclypsium. Compara la situación con el escándalo del rootkit de Sony de mediados de la década de 2000. Sony había ocultado un código de administración de derechos digitales en CD que se insertaban de manera invisible en las computadoras de los usuarios, lo que creaba una vulnerabilidad que los piratas informáticos usaban para ocultar su malware. «Se podían usar técnicas que tradicionalmente usaban los actores maliciosos, pero esto era inaceptable, se pasaba de la raya», dice Smith. “No puedo explicar por qué Gigabyte eligió este método para entregar su software. Pero para mí, esto parece cruzar una línea similar en el espacio del firmware».

Smith reconoce que Gigabyte probablemente no tuvo intenciones maliciosas o engañosas en su herramienta de firmware oculta. Pero al dejar vulnerabilidades de seguridad en el código invisible que se encuentra debajo del sistema operativo de tantas computadoras, se erosiona una capa fundamental de confianza que los usuarios tienen en sus máquinas. «No hay intención aquí, solo negligencia. Pero no quiero que nadie que escriba mi firmware sea descuidado”, dice Smith. «Si no tiene confianza en su firmware, está construyendo su casa sobre arena».

Esta historia apareció originalmente en wired.com:.