Cuando el firmware es un peligro: descubren ejecutables en motherboards de Gigabyte
El descubrimiento de ejecutables ocultos en los firmwares del hardware presenta serios riesgos de seguridad informtica. Se trata de sistemas que pueden burlar la proteccin de los sistemas y solo se descubren por procedimientos heursticos.
04 Junio de 2023 10.30
Analistas especializados detectaron comportamientos sospechosos de puertas traseras dentro de los sistemas de Gigabyte que ya estn disponibles al pblico.
Estas detecciones fueron impulsadas por mtodos de deteccin heursticos, los cuales desempean un papel importante en la identificacin de amenazas nuevas en la cadena de suministro, donde productos o actualizaciones de tecnologa de terceros legtimos han sido comprometidos.
El anlisis revel que el firmware en los sistemas de Gigabyte est descargando y ejecutando un ejecutable nativo de Windows durante el proceso de inicio del sistema. Posteriormente, este ejecutable descarga y ejecuta cargas adicionales de manera segura.
Estas acciones utilizan las mismas tcnicas que otras funciones similares a puertas traseras OEM, como la conocida como Computrace (tambin conocida como LoJack DoubleAgent), que ha sido abusada por actores de amenazas, e incluso implanta firmware como Sednit LoJax, MosaicRegressor y Vector-EDK.
Se trata de un problema de seguridad informtica que est presente en cientos de modelos de PCs por lo cual no es fcil conocer su alcance preciso. Se estn tomando medidas para investigar y resolver estos comportamientos sospechosos de puertas traseras, con el objetivo de salvaguardar la seguridad y la integridad de los sistemas afectados.
Con el fin de proteger a las organizaciones de los actores malintencionados, tambin se decidi divulgar pblicamente esta informacin y las estrategias defensivas en un plazo ms acelerado que el habitual en la divulgacin de vulnerabilidades.
Esta puerta trasera parece estar implementando una funcionalidad intencional y requerira una actualizacin de firmware para eliminarla por completo de los sistemas afectados.
Si bien la investigacin en curso no confirm la explotacin por parte de un actor de amenazas especfico, una puerta trasera activa generalizada que es difcil de eliminar representa un riesgo en la cadena de suministro para las organizaciones con sistemas Gigabyte.
Eclypsium, una empresa especializada en seguridad informtica, desarroll una heurstica automatizada para detectar firmware en los sistemas de la marca Gigabyte que eliminan un binario ejecutable de Windows durante el proceso de inicio del sistema operativo. Este binario ejecutable es responsable de descargar y ejecutar cargas tiles adicionales de Internet de manera segura.
La deteccin de esta actividad sospechosa es preocupante porque implica que se estn encontrando numerosos casos similares en los sistemas de Gigabyte. Ante esta situacin, Eclypsium lleva a cabo anlisis constantes a gran escala de la cadena de suministro de problemas de tecnologa de la informacin. Esto significa que estn investigando activamente y evaluando posibles riesgos y vulnerabilidades relacionadas con los productos y componentes de tecnologa de la informacin de Gigabyte.
Estas acciones de Eclypsium indican una respuesta proactiva para identificar y abordar posibles amenazas en los sistemas de la marca Gigabyte. Es importante que los usuarios estn al tanto de estos problemas de seguridad y sigan las recomendaciones y actualizaciones proporcionadas por Gigabyte y Eclypsium para proteger sus sistemas contra posibles ataques o explotaciones. Adems, se recomienda mantenerse informado sobre las ltimas actualizaciones de seguridad y parches proporcionados por los fabricantes de hardware y software.