Cientos de modelos de placas base Gigabyte ocultan una puerta trasera vulnerable en su firmware

Gigabyte, uno de los mayores fabricantes de hardware del mundo, incluye en el firmware de “cientos de modelos” de sus placas base una puerta trasera o backdoor que durante el proceso de inicio del sistema es capaz de descargar y ejecutar payloads de forma insegura, según ha descubierto el equipo de investigadores de firma de seguridad Eclypsium. Esconder un programa en la UEFI (antes BIOS) de una placa base capaz de descargar e instalar software sin que el usuario se de cuenta es el sueño de cualquier atacante. Con su puerta trasera vulnerable incluida en millones de placas, Gigabyte les ha hecho el trabajo.

Según explica Eclypsium, cada vez que se reinicia un ordenador con una placa base Gigabyte afectada por la vulnerabilidad, el firmware de la placa inicia un programa que se ejecuta en el PC y que sirve para descargar y ejecutar otro software como pueden ser las aplicaciones que fabricante taiwanés ofrece para ajustar la configuración de la placa. En principio este código oculto es inocuo y se limita a tareas de actualización, pero los investigadores descubrieron que está implantado de forma no segura, lo que podría permitir a un atacante usar esta vía para instalar malware en lugar de los programas oficiales de Gigabyte.

Debido a que el programa se activa desde el firmware de la placa base, es decir, fuera del sistema operativo, es difícil que los usuarios puedan eliminarlo o incluso detectarlo.

La investigación de Eclypsium ha descubierto que hay 271 modelos de placas base Gigabyte con esta puerta trasera vulnerable, incluyendo productos de la marca Aorus, una división del fabricante taiwanés. Las placas afectadas van desde las que tienen soporte para procesadores Intel de 8ª generación y Zen 2 de AMD Ryzen, a todos los chipset hasta los Intel de de 13ª generación y Zen 4 de AMD Ryzen. Podéis encontrar una lista con todos los modelos de placa base que tienen una puerta trasera oculta y vulnerable en este documento pdf.

Eclypsium ha dado a conocer la vulnerabilidad tras colaborar con Gigabyte, que actualmente se encuentra trabajando en una actualización del firmware para tapar el fallo de seguridad. Independientemente del tiempo que tarde el fabricante encontrar y ofrecer una solución, el problema va para largo. A pesar de que cada vez es más sencillo actualizar el firmware de una placa base y que la UEFI es un entorno mucho más amigable que la BIOS, este proceso sigue siendo algo fuera de lo normal para la inmensa mayoría de los usuarios. A ello debemos sumarle que posiblemente haya millones de afectados en todo el mundo.

Para minimizar el riesgo y más allá de recomendar la instalación del firmware que tarde o temprano lanzará Gigabyte, Eclypsium aconseja deshabilitar la función de descarga e instalación del centro de aplicaciones en la configuración de la UEFI y establecer una contraseña para la BIOS. También se pueden bloquear las siguientes direcciones: http://mb.download.gigabyte.com/FileLis ... iveUpdate4, https://mb.download.gigabyte.com/FileLi ... iveUpdate4 y https://software-nas/Swhttp/LiveUpdate4.

Fuente: wired
Que dolor... con vaselina, please [poraki]
Lo veis niños porqué no es buena la telemetría? Pese a que las compañías se salten los derechos humanos violando la privacidad de sus usuarios, el auténtico problema es que otros atacantes pueden hacer uso de esa información para desvalijarte o joderte la vida.

Os dejo que voy a enviar un mail privado desde gmail en mi windows 11.
Quien usa esa mierda? Por suerte es fácil de desactivar de momento, que estará activado por defecto.
Viene activado por defecto en placas de gigabyte, MSI, Asus, etc... Asrock creo que aun no lo implementa, pero no pongo la mano en el fuego.

Entiendo que deshabilitando la opción que descarga la aplicación al iniciar el guindous, el fallo de seguridad solamente afecta si el atacante tiene acceso físico a la maquina para volver a activar la opción, y se vuelve a instalar la app de marras. Por eso lo de establecer la contraseña en bios.

En fin, otra gilipollez más para la colección. Es curioso que a estas alturas de la película, donde el propio guindous descarga los drivers de chipset, me, y demás mierdecillas desde hace mas de 10 años, lleguen los fabricantes de placas de escritorio a 'facilitarles' la vida a los usuarios instalando drivers, bloatware, etc.. a su gusto XDD. Yo que pensaba que se lo reservaban para los portátiles de gama consumo. XD
La solución para matar al bicho sería reflashear la bios?
¡Ala!, todos a desactivar la opción.
Menos mal que uno visita EOL con regularidad, si no, ni me entero.
Flashear bios solamente cuando el fabricante suministre la nueva corregida. Que no deberían tardar en preparar.

Entiendo que el peligro es que los juackers, reemplazan los 'paquetes' que descarga la aplicación del fabricante por algún script malicioso.

Con desinstalar el software en cuestión y deshabilitar la opción en UEFI para que no vuelva a instalarse, debería ser suficiente. La clave, es para que nadie vuelva a activar la opción en bios.
Auguro una caída de ventas de productos gigabyte (como si las cosas no estuviesen suficientemente mal en el mercado)
Pues qué alegría.
La verdad es que las UEFI cada vez tienen más mierdas, y la cultura de la seguridad en el desarrollo de software brilla por su ausencia.
Las A320 y las B350 que tengo no están y estaban regaladas ¬_¬
Lazebrazul escribió:Las A320 y las B350 que tengo no están y estaban regaladas ¬_¬


Aquí otro con una B350 sorprendido de que este modelo no esté en la lista.
@Benzo Yo tengo una AB350M-DS3H y gracias a Dios no está en la lista.. [+risas] me hubiese jodido sobremanera
Y la de placas que habrá con eso sin que sepa …
Mi placa sí está en la lista :( aunque afortunadamente hace mucho que había deshabilitado esa opción, que no me molaba nada que me instalase cosas en el SO cuando quisiese, menos mal XD

Imagino que si sólo eliminan dicha opción, será lo mismo que tenerla desactivada, así que igual hasta ni merece la pena actualizar (siempre que te acuerdes de deshabilitar la opción al hacer un Clear CMOS).


Salu2
Que guay. Mi flamante placa Gigabyte comprada a principios de año junto a mi Ryzen 5 está afectada. En fin.
Lo triste es que un fabricante te ponga una puerta trasera y esto se vea de lo más normal.
Que la UEFI ejecuta un programa en el sistema operativo para descargar cosas? que está compinchado con Windows? con Linux también? o con qué? Me parece rocambolesco que la UEFI le de ordenes al sistema operativo.

La verdad es que no me he enterado de nada.
Son pasas que cosan.
emupati escribió:Son pasas que cosan.

Imagen
Los usuarios de elotrolado son la ostia. Están acojonados porque un Hacker venga a sus casas, les instale un programa en su ordenador con placa Gigabyte para que les espíen el historial de navegación...
Se me ocurren formas más sencillas de hackear un ordenador sin tener que acceder físicamente a él.
Y si estáis tan preocupados por esta posibilidad, estoy seguro que no instaláis ninguna aplicación no oficial ni descargada de ninguna página que no sea la oficial. Y por si acaso, cada App la instaláis en un contenedor diferente para que no tenga acceso al resto de información de vuestro ordenador...
Y tampoco tendréis en los móviles instalados ningún programa con posibilidad de entrar en vuestros micros, cámaras, archivos...
Benzo escribió:
Lazebrazul escribió:Las A320 y las B350 que tengo no están y estaban regaladas ¬_¬


Aquí otro con una B350 sorprendido de que este modelo no esté en la lista.


Otro más, con una B350 jajaj
Parece que mi Z170 se libra.

Raro me parece.
jojuevaz escribió:Los usuarios de elotrolado son la ostia. Están acojonados porque un Hacker venga a sus casas, les instale un programa en su ordenador con placa Gigabyte para que les espíen el historial de navegación...
Se me ocurren formas más sencillas de hackear un ordenador sin tener que acceder físicamente a él.
Y si estáis tan preocupados por esta posibilidad, estoy seguro que no instaláis ninguna aplicación no oficial ni descargada de ninguna página que no sea la oficial. Y por si acaso, cada App la instaláis en un contenedor diferente para que no tenga acceso al resto de información de vuestro ordenador...
Y tampoco tendréis en los móviles instalados ningún programa con posibilidad de entrar en vuestros micros, cámaras, archivos...


Aquí todos tienen los programas originales sin cracks ni nada, guiño guiño [sonrisa] [sonrisa] [sonrisa] Por eso le tienen miedo a las Gigabyte. :Ð :Ð
Aquí uno con una de la serie Z370 y no está en lista.
Otro con una placa afectada, pues nada cuando llegue a casa a desactivar la funcioncita...
No parece haber nada por debajo de las 400, pero eso no a mi no me da ninguna seguridad, al contrario.

yo tengo una Z390 Aorus Pro, estoy seguro que está afectada y se que encima no va a recibir actualización alguna de bios.
Que no haya nada por debajo de los 400 me da que pensar que sea porque no se han molestado en testear placas tan antiguas, no porque estén libres del problema.
¿Una captura de donde esta esa opcion?
Mi placa en principio no aparece en la lista pero por si las moscas, cómo se desactiva lo que hay que desactivar?
La X570 GAMING X no está afectada (la S, sí)… Me volví loco buscando la opción para desactivarla y no la encontraba... Vaya tela!!!
DJ Deu escribió:Lo veis niños porqué no es buena la telemetría? Pese a que las compañías se salten los derechos humanos violando la privacidad de sus usuarios, el auténtico problema es que otros atacantes pueden hacer uso de esa información para desvalijarte o joderte la vida.

Os dejo que voy a enviar un mail privado desde gmail en mi windows 11.

Qué SO usas?
Toca mucho los cojones comprar un equipo nuevo, quitarle todo el bloatware de mierda y cada vez que reinicias reaparece la mierdautilidad de la placa base, por suerte una vez aprendes a desactivarlo desde la bios/uefi, el problema se puede dar por solucionado.
jojuevaz escribió:Se me ocurren formas más sencillas de hackear un ordenador sin tener que acceder físicamente a él.

No hace falta que accedan fisicamente a él, con que lo enciendas estando conectado a una red que hayan trapicheado el DNS, redirigiendolo los enlaces del articulo a malware, ya vale.
Mi placa es tan vieja que no es compatible ni con esto.
Mecagontó! Mi B450M-DS3H está en la lista, ahora encontrar la opción (la de veces que he entrado en la BIOS y no me suena nada lo de "permitir descargas" o algo así)

Donato escribió:
DJ Deu escribió:Lo veis niños porqué no es buena la telemetría? Pese a que las compañías se salten los derechos humanos violando la privacidad de sus usuarios, el auténtico problema es que otros atacantes pueden hacer uso de esa información para desvalijarte o joderte la vida.

Os dejo que voy a enviar un mail privado desde gmail en mi windows 11.

Qué SO usas?


Vuelve a leer...
Leyendo estás noticias, no es que me animem mucho a jubilar mi viejo i3 de tercera generación.
Es un problema de plataformas "modernas" aunque la 8a gen de Intel ya sea EOL [rtfm]

La realidad es que con cualquier otro sistema operativo que no sea Windows, esto no te afecta. Pero vaya, hace días que no compro ni monto nada Gigabyte en placas base, aunque he tenido Z97, X99 y Z170 de esta compañía, al final he cambiado a Asus (para mejor).

Aunque con la fuga de datos en MSI con las claves de plataforma (Intel OEM Private Keys) de Intel, es cuestión de meses que salgan más "puertas tra3seras" como estas.
Silent Bob escribió:Mecagontó! Mi B450M-DS3H está en la lista, ahora encontrar la opción (la de veces que he entrado en la BIOS y no me suena nada lo de "permitir descargas" o algo así)

Donato escribió:
DJ Deu escribió:Lo veis niños porqué no es buena la telemetría? Pese a que las compañías se salten los derechos humanos violando la privacidad de sus usuarios, el auténtico problema es que otros atacantes pueden hacer uso de esa información para desvalijarte o joderte la vida.

Os dejo que voy a enviar un mail privado desde gmail en mi windows 11.

Qué SO usas?


Vuelve a leer...

Pensaba que era irónico, no literal. En ese caso, no entiendo la queja habiendo alternativas xd
Asus también tiene algo similar en algunas placas, como la asus prime b365-a, tengo una y si la opción de instalación del software se encuentra habilitado, te cargar aun payload en Windows.
https://www.dpreview.com/forums/thread/4438288
A mi nunca me hizo gracia estas porquerías, espero que con esto los fabricantes dejen de hacer mierdas, y que el usuario sea el que lo instale manualmente.
Por cierto, la solución provisional es deshabilitar el software recomendado desde UEFI.
agron escribió:Es un problema de plataformas "modernas" aunque la 8a gen de Intel ya sea EOL [rtfm]

La realidad es que con cualquier otro sistema operativo que no sea Windows, esto no te afecta. Pero vaya, hace días que no compro ni monto nada Gigabyte en placas base, aunque he tenido Z97, X99 y Z170 de esta compañía, al final he cambiado a Asus (para mejor).

Aunque con la fuga de datos en MSI con las claves de plataforma (Intel OEM Private Keys) de Intel, es cuestión de meses que salgan más "puertas tra3seras" como estas.

Asus esta afectada por lo mismo, y hace las mismas practicas, tengo una Gigabyte z790 gaming x ax, y una Asus prime b365-a que tienen la misma función de instalar bloatware desde UEFI.
kevin! escribió:Asus también tiene algo similar en algunas placas, como la asus prime b365-a, tengo una y si la opción de instalación del software se encuentra habilitado, te cargar aun payload en Windows.
https://www.dpreview.com/forums/thread/4438288
A mi nunca me hizo gracia estas porquerías, espero que con esto los fabricantes dejen de hacer mierdas, y que el usuario sea el que lo instale manualmente.
Por cierto, la solución provisional es deshabilitar el software recomendado desde UEFI.

Asus esta afectada por lo mismo, y hace las mismas practicas, tengo una Gigabyte z790 gaming x ax, y una Asus prime b365-a que tienen la misma función de instalar bloatware desde UEFI.


Insisto en que solo es un problema si usas Windows. La Asus más moderna que tengo es una X99 que no tiene esa función, el cambio a mejor es en otras áreas como el overclock o el mejor soporte de memorias con perfiles XMP. Tenía en el punto de mira la MSI MAG Z790 o saltar a la Asrock X670E Pro, y buscando info, parece que también tienen ese sistema, así que me quedo como estoy. Hasta que todos los fabricantes no eliminen ese sistema de sus placas, no compro nada.
41 respuestas