¡Las placas base Gigabyte se envían con puerta trasera de firmware! ARP técnico

¡Millones de placas base y portátiles Gigabyte se envían con una puerta trasera integrada en su firmware UEFI!

Esto es lo que necesita saber sobre este peligro de ciberseguridad y lo que puede hacer al respecto.

¡Las placas base Gigabyte se envían con puerta trasera de firmware!

El 31 de mayo de 2023, investigadores de la empresa de ciberseguridad Eclypsium revelaron que 271 modelos de placas base Gigabyte se habían visto comprometidos con firmware UEFI con una puerta trasera incorporada.

Los métodos de detección heurística de Eclypsium recientemente comenzaron a detectar comportamientos sospechosos similares a puertas traseras en placas base Gigabyte. Cuando sus investigadores lo investigaron, descubrieron que el firmware de la placa base de Gigabyte estaba ejecutando un ejecutable nativo de Windows durante el proceso de inicio del sistema. Este ejecutable luego descarga y ejecuta cargas útiles adicionales de forma insegura.

Según su análisis, el ejecutable parece ser un módulo Gigabyte legítimo llamado WpbtDxe.efi:

  • comprueba si el «Descarga e instalación del Centro de aplicacionesLa función «está habilitada».
  • descarga cargas útiles ejecutables desde servidores Gigabyte
  • tiene una firma criptográfica Gigabyte

También descubrieron que las cargas útiles descargadas también tienen firmas criptográficas de Gigabyte, lo que sugiere que esta puerta trasera de firmware fue implementada por la propia Gigabyte.

Sin embargo, los investigadores de Eclypsium descubrieron que la implementación de Gigabyte tenía una serie de problemas, lo que facilitaría a los actores de amenazas abusar de la puerta trasera del firmware:

  • una de sus ubicaciones de descarga de carga útil carece de SSL (usando HTTP simple, en lugar del HTTPS más seguro), lo que permite ataques Machine-in-the-middle (MITM)
  • La validación del certificado del servidor remoto no se implementó correctamente incluso cuando se utilizaron las otras dos ubicaciones de descarga HTTPS, lo que permite ataques MITM.
  • Una de sus ubicaciones de descarga de carga útil es un dispositivo de almacenamiento (NAS) atacado por la red local, lo que podría permitir a un actor de amenazas falsificar la ubicación del NAS para instalar su propio malware.
  • El firmware de Gigabyte en sí no verifica ninguna firma criptográfica ni valida los ejecutables descargados.

En resumen, millones de placas base Gigabyte tienen una vulnerabilidad de ciberseguridad debido a que su firmware incluye una puerta trasera OEM insegura/vulnerable. Como lo expresó John Loucaides de Eclypsium:

Si tiene una de estas máquinas, debe preocuparse por el hecho de que básicamente está tomando algo de Internet y ejecutándolo sin que usted esté involucrado, y no ha hecho nada de esto de manera segura.

El concepto de pasar por debajo del usuario final y hacerse cargo de su máquina no le sienta bien a la mayoría de las personas.

Nota: Esta vulnerabilidad afecta a todos los ordenadores que utilizan placas base Gigabyte, incluidos los portátiles.

¡Gigabyte lanza nuevo firmware para mitigar la puerta trasera!

Después de que la noticia estallara de manera inconveniente durante Computex 2023, Gigabyte lanzó rápidamente nuevos beta actualizaciones de firmware para sus placas base AMD e Intel.

Según Gigabyte, las nuevas actualizaciones de firmware beta tienen “mecanismos de seguridad mejorados» esa voluntad «detectar y prevenir actividades maliciosas durante el proceso de arranque“. También parecía haber implementado otros cambios:

  • mejoró el proceso de verificación de firmas para archivos descargados desde sus servidores remotos
  • realizar comprobaciones más exhaustivas de la integridad de los archivos para evitar la introducción de códigos maliciosos
  • Habilitó la verificación criptográfica estándar de los certificados del servidor remoto.

El nuevo firmware acaba de ser lanzado para las placas base AMD de la serie 600, así como para las placas base Intel de las series 500 y 400, pero eventualmente se introducirá para placas base más antiguas. El nuevo firmware tendrá la descripción «Aborda las vulnerabilidades del asistente de descarga informadas por Eclypsium Research“.

Como Gigabyte no tiene la intención de eliminar la función de puerta trasera, es posible que desees considerar los consejos de Eclypsium sobre la mejor manera de reducir el riesgo de que actores maliciosos se aprovechen de ella:

  1. Escanee y supervise los sistemas y las actualizaciones de firmware para detectar los sistemas Gigabyte afectados y las herramientas similares a puertas traseras integradas en el firmware. Actualice los sistemas al firmware y software validados más recientes para abordar problemas de seguridad como este.
  2. Inspeccione y desactive la función «Descarga e instalación del Centro de aplicaciones» en la configuración UEFI/BIOS en sistemas Gigabyte y establezca una contraseña de BIOS para impedir cambios maliciosos.
  3. Los administradores también pueden bloquear las siguientes URL:
    – http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
    – https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
    – https://software-nas/Swhttp/LiveUpdate4

Para empezar, definitivamente deberías descargar y actualizar tu placa base o computadora portátil Gigabyte con el firmware mejorado. Luego deshabilitar Descarga e instalación del Centro de aplicaciones en la BIOS.

Esperemos que Gigabyte pueda lanzar rápidamente nuevos y mejorado firmware para mitigar, si no eliminar, la vulnerabilidad de puerta trasera para los 271 modelos de placas base afectados y sus futuras placas base y portátiles. Aun así, es posible que muchos usuarios no sean conscientes de esta vulnerabilidad o de estas actualizaciones.

Parece probable que los actores de amenazas tengan acceso a esta vulnerabilidad de puerta trasera en muchas placas base y portátiles de Gigabyte en los próximos años. Incluso Loucaides de Eclypsium así lo cree:

Sigo pensando que esto terminará siendo un problema bastante generalizado en las placas Gigabyte en los próximos años.

¡Por favor apoye mi trabajo!

¡Apoya mi trabajo a través de una transferencia bancaria/PayPal/tarjeta de crédito!

Nombre: Adrián Wong
Transferencia bancaria : CIMB 7064555917 (Código Swift: CIBBMYKL)
Tarjeta de crédito/Paypal: https://paypal.me/techarp

El Dr. Adrian Wong ha estado escribiendo sobre tecnología y ciencia desde 1997, e incluso publicó un libro con Prentice Hall llamado Rompiendo la barrera del BIOS (ISBN 978-0131455368) mientras estaba en la escuela de medicina.

Continúa dedicando innumerables horas todos los días a escribir sobre tecnología, medicina y ciencia, en su búsqueda de hechos en un mundo de posverdad.

Lectura recomendada

Volver a > Computadora | Ciberseguridad | ARP técnico

¡Soporte técnico ARP!

Por favor apóyanos por visitando a nuestros patrocinadoresparticipando en el Foros técnicos de ARPo donando a nuestro fondo. ¡Gracias!


Source link

About David Lopez

Check Also

Este MSI RTX 4080 Super acaba de recibir un recorte de precio en esta oferta de Amazon de junio

Puede confiar en PC Guide: nuestro equipo de expertos utiliza una combinación de investigación de …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *