Fabricante vendió millones de motherboards con una puerta trasera de firmware
Ocultar programas maliciosos en el firmware UEFI de una computadora, el código profundamente arraigado que le dice a una PC cómo cargar su sistema operativo, se ha convertido en un truco insidioso en el conjunto de herramientas de los hackers sigilosos. Pero cuando un fabricante de placas base (motherboards) instala su propia puerta trasera oculta en el firmware de millones de computadoras, y ni siquiera coloca un candado adecuado en esa entrada trasera oculta, prácticamente están haciendo el trabajo de los hackers por ellos.
Investigadores de la empresa de ciberseguridad centrada en firmware Eclypsium revelaron hoy que descubrieron un mecanismo oculto en el firmware de las placas base vendidas por el fabricante taiwanés Gigabyte. Estas motherboards se usan comúnmente en PCs para juegos y otras computadoras de alto rendimiento. Cada vez que se reinicia una computadora con la placa base Gigabyte afectada, el código dentro del firmware de la placa base inicia de manera invisible un programa de actualización. Este programa se ejecuta en la computadora y, a su vez, descarga y ejecuta otra pieza de software.
Si bien Eclypsium dice que el código oculto está destinado a ser una herramienta inocua para mantener actualizado el firmware de la placa base, parece que no es así. Los investigadores descubrieron que se implementa de manera insegura. En otras palabras, podría permitir que el mecanismo sea secuestrado y utilizado para instalar malware en lugar del programa previsto por Gigabyte. Y debido a que el programa de actualización se activa desde el firmware de la computadora, fuera de su sistema operativo, es difícil para los usuarios eliminarlo o incluso descubrirlo.
Usuarios afectados
“Si tienes una de estas máquinas, debes preocuparte por el hecho de que básicamente toma algo de Internet y lo ejecuta sin que tú estés involucrado, y no ha hecho nada de esto de manera segura. El concepto de pasar por debajo del usuario final y hacerse cargo de su máquina no le sienta bien a la mayoría de las personas”. John Loucaides, investigador de Eclypsium
En la publicación sobre la investigación, Eclypsium enumera 271 modelos de placas base Gigabyte que, según los investigadores, están afectados. Loucaides agrega que los usuarios que desean ver qué placa base usa su computadora pueden verificar yendo a “Inicio” en Windows y luego a “Información del sistema”.
Eclypsium dice que encontró el mecanismo de firmware oculto de Gigabyte mientras revisaba las computadoras de los clientes en busca de código malicioso basado en firmware, una herramienta cada vez más común empleada por hackers sofisticados. En 2018, por ejemplo, se descubrió que los hackers que trabajaban en nombre de la agencia de inteligencia militar GRU de Rusia instalaban silenciosamente el software antirrobo basado en firmware LoJack en las máquinas de las víctimas como una táctica de espionaje. Los hackers patrocinados por el estado chino fueron descubiertos dos años después reutilizando una herramienta de spyware basada en firmware.creado por la firma de hackers a sueldo Hacking Team. El objetivo era atacar las computadoras de diplomáticos y personal de ONGs en África, Asia y Europa.
Los investigadores de Eclypsium se sorprendieron al ver que sus escaneos de detección automatizados marcan el mecanismo de actualización de Gigabyte por llevar a cabo algunos de los mismos comportamientos turbios que esas herramientas de hacking patrocinadas por estados. Es decir, ocultarse en el firmware e instalar silenciosamente un programa que descarga código de Internet.
Ataques potenciales
El actualizador de Gigabyte por sí solo podría haber despertado la preocupación de los usuarios que no confían en que Gigabyte instale silenciosamente el código en su máquina con una herramienta casi invisible. También podrían preocuparse de que los hackers puedan explotar el mecanismo de Gigabyte y comprometer al fabricante de la placa base para explotar su acceso oculto en un ataque a la cadena de suministro de software.
Pero Eclypsium también descubrió que el mecanismo de actualización se implementó con vulnerabilidades evidentes. Dichas vulnerabilidades podrían permitir: Descargar el código en la máquina del usuario sin autenticarlo correctamente, a veces incluso a través de una conexión HTTP desprotegida, en lugar de HTTPS.
Esto permitiría que la fuente de la instalación sea suplantada por un ataque man-in-the-middle llevado a cabo por cualquier persona que pueda interceptar la conexión a Internet del usuario. Por ejemplo, una red Wi-Fi no autorizada.
En otros casos, el actualizador instalado por el mecanismo en el firmware de Gigabyte está configurado para descargarse desde un dispositivo de almacenamiento conectado a la red local (NAS). Esta es una característica que parece estar diseñada para que las redes comerciales administren actualizaciones sin que todas sus máquinas se conecten a Internet. Pero Eclypsium advierte que, en esos casos, un atacante en la misma red podría falsificar la ubicación de la NAS para instalar invisiblemente su propio malware.
Eclypsium dice que ha estado trabajando con Gigabyte para divulgar sus hallazgos al fabricante de la motherboard y que Gigabyte ha dicho que planea solucionar los problemas. Hasta el cierre de este artículo, Gigabyte no ha brindado declaraciones sobre los hallazgos de Eclypsium.
Posibles soluciones
Incluso si Gigabyte ofrece una solución para su problema de firmware (después de todo, el problema proviene de una herramienta de Gigabyte destinada a automatizar las actualizaciones de firmware), Loucaides de Eclypsium señala que las actualizaciones de firmware a menudo abortan silenciosamente en las máquinas de los usuarios, en muchos casos debido a su complejidad y la dificultad de hacer coincidir el firmware y el hardware.
“Todavía creo que esto terminará siendo un problema bastante generalizado en las motherboards Gigabyte en los próximos años”.
Loucaides.
Dados los millones de dispositivos potencialmente afectados, el descubrimiento de Eclypsium es “preocupante”, dice Rich Smith. Smith es el director de seguridad de Crash Override, una startup de seguridad cibernética centrada en la cadena de suministro.
Smith ha publicado investigaciones sobre vulnerabilidades de firmware y revisó los hallazgos de Eclypsium. Compara la situación con el escándalo del rootkit de Sony de mediados de la década de 2000s.. Sony había ocultado un código de administración de derechos digitales en los CD que se instalaba de manera invisible en las computadoras de los usuarios y, al hacerlo, creaba una vulnerabilidad que los hackers usaban para ocultar su malware.
Smith reconoce que Gigabyte probablemente no tuvo intenciones maliciosas o engañosas en su herramienta de firmware oculta. Pero al dejar vulnerabilidades de seguridad en el código invisible que se encuentra debajo del sistema operativo de tantas computadoras, se erosiona una capa fundamental de confianza que los usuarios tienen en sus máquinas.
“No hay intención aquí, solo descuido. Pero no quiero que nadie que escriba mi firmware sea descuidado. Si no confías en tu firmware, estás construyendo tu casa sobre arena”.
Smith
