Gigabyte, uno de los mayores fabricantes de hardware del mundo, incluye en el firmware de “cientos de modelos” de sus placas base una puerta trasera o backdoor que durante el proceso de inicio del sistema es capaz de descargar y ejecutar payloads de forma insegura, según ha descubierto el equipo de investigadores de firma de seguridad Eclypsium. Esconder un programa en la UEFI (antes BIOS) de una placa base capaz de descargar e instalar software sin que el usuario se de cuenta es el sueño de cualquier atacante. Con su puerta trasera vulnerable incluida en millones de placas, Gigabyte les ha hecho el trabajo.
Según explica Eclypsium, cada vez que se reinicia un ordenador con una placa base Gigabyte afectada por la vulnerabilidad, el firmware de la placa inicia un programa que se ejecuta en el PC y que sirve para descargar y ejecutar otro software como pueden ser las aplicaciones que fabricante taiwanés ofrece para ajustar la configuración de la placa. En principio este código oculto es inocuo y se limita a tareas de actualización, pero los investigadores descubrieron que está implantado de forma no segura, lo que podría permitir a un atacante usar esta vía para instalar malware en lugar de los programas oficiales de Gigabyte.
Debido a que el programa se activa desde el firmware de la placa base, es decir, fuera del sistema operativo, es difícil que los usuarios puedan eliminarlo o incluso detectarlo.
La investigación de Eclypsium ha descubierto que hay 271 modelos de placas base Gigabyte con esta puerta trasera vulnerable, incluyendo productos de la marca Aorus, una división del fabricante taiwanés. Las placas afectadas van desde las que tienen soporte para procesadores Intel de 8ª generación y Zen 2 de AMD Ryzen, a todos los chipset hasta los Intel de de 13ª generación y Zen 4 de AMD Ryzen. Podéis encontrar una lista con todos los modelos de placa base que tienen una puerta trasera oculta y vulnerable en este documento pdf.
Eclypsium ha dado a conocer la vulnerabilidad tras colaborar con Gigabyte, que actualmente se encuentra trabajando en una actualización del firmware para tapar el fallo de seguridad. Independientemente del tiempo que tarde el fabricante encontrar y ofrecer una solución, el problema va para largo. A pesar de que cada vez es más sencillo actualizar el firmware de una placa base y que la UEFI es un entorno mucho más amigable que la BIOS, este proceso sigue siendo algo fuera de lo normal para la inmensa mayoría de los usuarios. A ello debemos sumarle que posiblemente haya millones de afectados en todo el mundo.
Para minimizar el riesgo y más allá de recomendar la instalación del firmware que tarde o temprano lanzará Gigabyte, Eclypsium aconseja deshabilitar la función de descarga e instalación del centro de aplicaciones en la configuración de la UEFI y establecer una contraseña para la BIOS. También se pueden bloquear las siguientes direcciones: http://mb.download.gigabyte.com/FileLis ... iveUpdate4, https://mb.download.gigabyte.com/FileLi ... iveUpdate4 y https://software-nas/Swhttp/LiveUpdate4.
Según explica Eclypsium, cada vez que se reinicia un ordenador con una placa base Gigabyte afectada por la vulnerabilidad, el firmware de la placa inicia un programa que se ejecuta en el PC y que sirve para descargar y ejecutar otro software como pueden ser las aplicaciones que fabricante taiwanés ofrece para ajustar la configuración de la placa. En principio este código oculto es inocuo y se limita a tareas de actualización, pero los investigadores descubrieron que está implantado de forma no segura, lo que podría permitir a un atacante usar esta vía para instalar malware en lugar de los programas oficiales de Gigabyte.
Debido a que el programa se activa desde el firmware de la placa base, es decir, fuera del sistema operativo, es difícil que los usuarios puedan eliminarlo o incluso detectarlo.
La investigación de Eclypsium ha descubierto que hay 271 modelos de placas base Gigabyte con esta puerta trasera vulnerable, incluyendo productos de la marca Aorus, una división del fabricante taiwanés. Las placas afectadas van desde las que tienen soporte para procesadores Intel de 8ª generación y Zen 2 de AMD Ryzen, a todos los chipset hasta los Intel de de 13ª generación y Zen 4 de AMD Ryzen. Podéis encontrar una lista con todos los modelos de placa base que tienen una puerta trasera oculta y vulnerable en este documento pdf.
Eclypsium ha dado a conocer la vulnerabilidad tras colaborar con Gigabyte, que actualmente se encuentra trabajando en una actualización del firmware para tapar el fallo de seguridad. Independientemente del tiempo que tarde el fabricante encontrar y ofrecer una solución, el problema va para largo. A pesar de que cada vez es más sencillo actualizar el firmware de una placa base y que la UEFI es un entorno mucho más amigable que la BIOS, este proceso sigue siendo algo fuera de lo normal para la inmensa mayoría de los usuarios. A ello debemos sumarle que posiblemente haya millones de afectados en todo el mundo.
Para minimizar el riesgo y más allá de recomendar la instalación del firmware que tarde o temprano lanzará Gigabyte, Eclypsium aconseja deshabilitar la función de descarga e instalación del centro de aplicaciones en la configuración de la UEFI y establecer una contraseña para la BIOS. También se pueden bloquear las siguientes direcciones: http://mb.download.gigabyte.com/FileLis ... iveUpdate4, https://mb.download.gigabyte.com/FileLi ... iveUpdate4 y https://software-nas/Swhttp/LiveUpdate4.
Os dejo que voy a enviar un mail privado desde gmail en mi windows 11.
Entiendo que deshabilitando la opción que descarga la aplicación al iniciar el guindous, el fallo de seguridad solamente afecta si el atacante tiene acceso físico a la maquina para volver a activar la opción, y se vuelve a instalar la app de marras. Por eso lo de establecer la contraseña en bios.
En fin, otra gilipollez más para la colección. Es curioso que a estas alturas de la película, donde el propio guindous descarga los drivers de chipset, me, y demás mierdecillas desde hace mas de 10 años, lleguen los fabricantes de placas de escritorio a 'facilitarles' la vida a los usuarios instalando drivers, bloatware, etc.. a su gusto XDD. Yo que pensaba que se lo reservaban para los portátiles de gama consumo. XD
Menos mal que uno visita EOL con regularidad, si no, ni me entero.
Entiendo que el peligro es que los juackers, reemplazan los 'paquetes' que descarga la aplicación del fabricante por algún script malicioso.
Con desinstalar el software en cuestión y deshabilitar la opción en UEFI para que no vuelva a instalarse, debería ser suficiente. La clave, es para que nadie vuelva a activar la opción en bios.
La verdad es que las UEFI cada vez tienen más mierdas, y la cultura de la seguridad en el desarrollo de software brilla por su ausencia.