Según explica Eclypsium, cada vez que se reinicia un ordenador con una placa base Gigabyte afectada por la vulnerabilidad, el firmware de la placa inicia un programa que se ejecuta en el PC y que sirve para descargar y ejecutar otro software como pueden ser las aplicaciones que fabricante taiwanés ofrece para ajustar la configuración de la placa. En principio este código oculto es inocuo y se limita a tareas de actualización, pero los investigadores descubrieron que está implantado de forma no segura, lo que podría permitir a un atacante usar esta vía para instalar malware en lugar de los programas oficiales de Gigabyte.
Debido a que el programa se activa desde el firmware de la placa base, es decir, fuera del sistema operativo, es difícil que los usuarios puedan eliminarlo o incluso detectarlo.
La investigación de Eclypsium ha descubierto que hay 271 modelos de placas base Gigabyte con esta puerta trasera vulnerable, incluyendo productos de la marca Aorus, una división del fabricante taiwanés. Las placas afectadas van desde las que tienen soporte para procesadores Intel de 8ª generación y Zen 2 de AMD Ryzen, a todos los chipset hasta los Intel de de 13ª generación y Zen 4 de AMD Ryzen. Podéis encontrar una lista con todos los modelos de placa base que tienen una puerta trasera oculta y vulnerable en este documento pdf.
Eclypsium ha dado a conocer la vulnerabilidad tras colaborar con Gigabyte, que actualmente se encuentra trabajando en una actualización del firmware para tapar el fallo de seguridad. Independientemente del tiempo que tarde el fabricante encontrar y ofrecer una solución, el problema va para largo. A pesar de que cada vez es más sencillo actualizar el firmware de una placa base y que la UEFI es un entorno mucho más amigable que la BIOS, este proceso sigue siendo algo fuera de lo normal para la inmensa mayoría de los usuarios. A ello debemos sumarle que posiblemente haya millones de afectados en todo el mundo.