Computer Security Firmware de puerta trasera encontrado en millones de...

Firmware de puerta trasera encontrado en millones de placas base de PC

Los ciberdelincuentes han empleado cada vez más una táctica tortuosa al ocultar programas maliciosos dentro del firmware UEFI de una computadora, el código fundamental responsable de iniciar el sistema operativo. Sin embargo, la situación se vuelve aún más alarmante cuando un fabricante de placas base no solo incluye su puerta trasera oculta en el firmware de millones de computadoras, sino que no asegura esa entrada adecuadamente.

Recientemente, un equipo de investigadores de ciberseguridad especializados en firmware ha descubierto un mecanismo oculto incrustado en el firmware de las placas base fabricadas por Gigabyte, una reconocida empresa taiwanesa ampliamente utilizada en PC para juegos y computadoras de alto rendimiento. Al reiniciar una computadora con la placa base Gigabyte afectada, el código oculto dentro del firmware activa discretamente un programa de actualización en la computadora. Posteriormente, este programa descarga y ejecuta otra pieza de software sin el conocimiento o consentimiento del usuario.

Buenas intenciones, implementación no tanto

Si bien el código oculto descubierto en el firmware de la placa base de Gigabyte supuestamente pretendía ser una herramienta inofensiva para las actualizaciones de firmware, los investigadores han identificado importantes fallas de seguridad en su implementación. Estas vulnerabilidades crean un riesgo potencial de que los actores maliciosos exploten el mecanismo, que podría utilizarlo para instalar malware en lugar del programa Gigabyte previsto.

Para agravar el problema, está el hecho de que el programa de actualización se inicia desde el firmware de la computadora, operando fuera del ámbito del sistema operativo del usuario. Esto hace que sea increíblemente difícil para los usuarios detectar o eliminar el código problemático, lo que exacerba aún más el impacto potencial de la vulnerabilidad de seguridad.

Más de 270 modelos involucrados

Para ver si la placa base de su computadora contiene la puerta trasera en cuestión, vaya a "Inicio" en Windows y acceda a "Información del sistema".

Mientras investigaban el código malicioso basado en firmware, los investigadores hicieron un descubrimiento importante con respecto al mecanismo de firmware oculto de Gigabyte. Este hallazgo es particularmente notable ya que los piratas informáticos sofisticados emplean con frecuencia tácticas similares. Sorprendentemente, los escaneos de detección automatizados de los investigadores señalaron el mecanismo de actualización de Gigabyte para participar en actividades sospechosas que recuerdan a las herramientas de piratería patrocinadas por el estado. Específicamente, implicó esconderse dentro del firmware y ejecutar silenciosamente un programa que descarga código de Internet.

El mecanismo de actualización de Gigabyte por sí solo ha despertado preocupaciones entre los usuarios que están preocupados por la posibilidad de instalaciones de código silenciosas a través de una herramienta casi imperceptible. Además, existe un temor genuino de que el mecanismo de Gigabyte pueda ser víctima de la explotación por parte de piratas informáticos que se infiltran en el fabricante de la placa base, aprovechando su acceso oculto para un ataque nefasto de la cadena de suministro de software. Sin embargo, la investigación de Eclypsium descubrió una revelación aún más alarmante. El mecanismo de actualización, diseñado para mejorar la experiencia del usuario, contiene vulnerabilidades evidentes que tienen el potencial de ser secuestradas maliciosamente. Sorprendentemente, descarga el código en la máquina del usuario sin someterse a la autenticación adecuada y, en algunos casos, incluso utiliza una conexión HTTP insegura en lugar del HTTPS más seguro.

Este enorme agujero de seguridad permite a los actores malévolos orquestar ataques de intermediarios, lo que les permite engañar a los usuarios desprevenidos falsificando la fuente de instalación. En esencia, incluso una red Wi-Fi no autorizada podría convertirse en un instrumento de peligro, interceptando la conexión a Internet del usuario y comprometiendo la integridad de su sistema.

En otros casos, el mecanismo de firmware de Gigabyte permite que el actualizador obtenga descargas desde un dispositivo de almacenamiento conectado a la red local (NAS). Esta característica, aparentemente destinada a facilitar las actualizaciones dentro de las redes comerciales, evita el acceso extenso a Internet por parte de todas las máquinas. Sin embargo, cuando esto ocurre, un actor malicioso en la misma red puede manipular de manera engañosa la ubicación del NAS, reemplazando de manera subrepticia las actualizaciones autorizadas con su propio malware.

Una solución podría funcionar... ¿o no?

A pesar de los esfuerzos potenciales de Gigabyte para solucionar el problema del firmware, las actualizaciones de firmware suelen terminar silenciosamente en las máquinas de los usuarios debido a la naturaleza compleja del proceso y al desafío de alinear el firmware con el hardware. Esta revelación es profundamente preocupante, considerando la gran cantidad de dispositivos que podrían verse afectados. Si bien Gigabyte probablemente no tuvo intenciones maliciosas o engañosas con su herramienta de firmware oculta, las vulnerabilidades de seguridad dentro del código oculto debajo del sistema operativo socavan la confianza fundamental de los usuarios en sus máquinas.

Cargando...