Ocultar programas maliciosos en el firmware UEFI de una computadora, el código profundo que le dice a una PC cómo cargar su sistema operativo, se ha convertido en un truco insidioso en el conjunto de herramientas de los piratas informáticos sigilosos. Pero cuando un fabricante de placas base instala su propia puerta trasera oculta en el firmware de millones de computadoras, y ni siquiera coloca un candado adecuado en esa puerta trasera oculta, prácticamente están haciendo el trabajo de los piratas informáticos por ellos.
Investigadores de la firma de seguridad cibernética centrada en firmware Eclypsium revelaron hoy que descubrieron un mecanismo oculto en el firmware de las placas base vendidas por el fabricante taiwanés Gigabyte, cuyos componentes se usan comúnmente en PC para juegos y otras computadoras de alto rendimiento. Eclipse descubrió que cada vez que se reinicia una computadora con una placa base Gigabyte infectada, el código en el firmware de la placa base lanza de manera invisible un programa de actualización que se ejecuta en la computadora, que a su vez descarga y ejecuta otra pieza de software.
Aunque Eclipse afirma que el código oculto es una herramienta inofensiva que actualiza el firmware de la placa base, los investigadores descubrieron que se implementa de manera insegura, lo que permite que el malware secuestre el mecanismo de instalación en lugar del programa previsto por Gigabyte. Y dado que el programa de actualización se activa desde el firmware de la computadora, fuera de su sistema operativo, es difícil para los usuarios eliminarlo o localizarlo.
«Si tiene una de estas máquinas, debe preocuparse de que tome algo de Internet y lo ejecute sin su participación, y no lo haga de forma segura», dice John Lucastes, quien lidera la estrategia. e investigación sobre el eclipse. «La idea de pasar por debajo del usuario final y tomar su máquina no le sienta bien a la mayoría de las personas».
dentro de ella Una publicación de blog sobre investigación., enumera 271 modelos de placas base Eclipse Gigabyte que, según los investigadores, están afectados. Loucaides agrega que los usuarios que desean ver qué placa base está usando su computadora pueden verificar yendo a «Inicio» en Windows y luego a «Información del sistema».
Eclipse dice que descubrió el mecanismo de firmware oculto de Gigabyte mientras buscaba en las computadoras de los clientes un código malicioso basado en firmware, una herramienta común utilizada por piratas informáticos sofisticados. En 2018, los piratas informáticos que trabajaban en nombre de la agencia de inteligencia militar GRU de Rusia descubrieron la instalación silenciosa. El software antirrobo basado en firmware LoJack es un truco para espiar las máquinas de las víctimas. Los piratas informáticos patrocinados por el estado chino fueron descubiertos dos años después. Reconstruye la herramienta de spyware basada en firmware Hacking Team, una organización de piratas informáticos a sueldo, se formó para apuntar a las computadoras de diplomáticos y trabajadores de ONG en África, Asia y Europa. Los investigadores de Eclypsium quedaron asombrados con sus escaneos de detección automatizados. Eso marca el mecanismo de actualización de Gigabyte para participar en algún comportamiento turbio, como herramientas de piratería patrocinadas por el estado: instalar silenciosamente un programa que se esconde en el firmware y descarga el código de Internet.
Solo la actualización de Gigabyte planteó preocupaciones de que los usuarios que no confiaban en Gigabyte pudieran instalar silenciosamente el código en sus PC con una herramienta casi invisible, o que los piratas informáticos pudieran usar el mecanismo de Gigabyte para comprometer al fabricante de la placa base y explotar su acceso oculto. A Ataque a la cadena de suministro de software. Pero Eclipse descubrió que el mecanismo de actualización se implementó con una serie de vulnerabilidades que podrían permitir que se secuestrara: descarga código en la computadora de un usuario sin la autenticación adecuada, a veces a través de una conexión HTTP que es menos segura que HTTPS. Esto permitiría falsificar la fuente de instalación mediante un ataque de intermediario realizado por cualquier persona que pudiera interceptar la conexión a Internet del usuario, como una red Wi-Fi no autorizada.
En otros casos, el actualizador instalado por el mecanismo en el firmware de Gigabyte está configurado para descargarse desde un dispositivo de almacenamiento conectado a la red (NAS) local, diseñado para que las redes comerciales administren las actualizaciones sin llegar a todas sus máquinas. a la Internet. Pero en esos casos, advierte Eclipse, un actor malintencionado en la misma red podría falsificar la ubicación del NAS e instalar su propio malware de forma invisible.
Eclipse dice que está trabajando con Gigabyte para informar sus hallazgos al fabricante de la placa base y que Gigabyte planea solucionar el problema. Gigabyte no respondió a múltiples solicitudes de WIRED con respecto a los hallazgos de Eclypsium.
Aunque Gigabyte ofrece una solución a su problema de firmware, después de todo, el problema se deriva de la herramienta de Gigabyte que automatiza las actualizaciones de firmware, las filtraciones de Eclipsium apuntan a actualizaciones de firmware frecuentes. Apagado silencioso en las computadoras de los usuarios, en muchos casos por su complejidad y la dificultad de hacer coincidir firmware y hardware. «Sigo pensando que este va a ser un problema muy frecuente con las placas de gigabytes en los próximos años», dice Lukatz.
Dados los millones de dispositivos vulnerables, el descubrimiento de Eclypsium es «inquietante», dice Rich Smith, director de seguridad de la startup de ciberseguridad Crash Override, centrada en la cadena de suministro. Smith publicó una investigación sobre vulnerabilidades de firmware y revisó los hallazgos de Eclipse. Compara la situación con el escándalo del rootkit de Sony de mediados de la década de 2000. Sony ocultó un código de gestión de derechos digitales en los CD que se instalaba de forma invisible en las computadoras de los usuarios. «Puedes usar técnicas que tradicionalmente usan los actores maliciosos, pero eso es inaceptable, está fuera de los límites», dice Smith. “No puedo explicar por qué Gigabyte eligió este método para entregar su software. Pero para mí, parece que cruza una línea similar en el espacio del firmware.
Smith reconoce que Gigabyte no tuvo intenciones maliciosas o engañosas en su herramienta de firmware oculta. Pero al dejar las vulnerabilidades de seguridad en el código invisible que subyace en los sistemas operativos de muchas computadoras, se erosiona una capa fundamental de confianza que los usuarios depositan en sus máquinas. «No hay intención aquí, solo descuido. Pero no quiero escribir mi firmware de manera descuidada”, dice Smith. «Si no tiene confianza en su firmware, está construyendo su casa sobre arena».
Esta historia apareció primero alambre.com.
«Estudiante amistoso. Jugador certificado. Evangelista de las redes sociales. Fanático de Internet. Se cae mucho. Futuro ídolo adolescente».