Imágenes de BeeBright/Getty
Ocultar malware en el firmware UEFI de una computadora, el código profundamente incrustado que le dice a una PC cómo cargar su sistema operativo, se ha convertido en un truco furtivo en la caja de herramientas del hacker furtivo. Pero cuando un fabricante de placas base instala su propia puerta trasera oculta en el firmware de millones de computadoras, y ni siquiera coloca un bloqueo real en esa puerta trasera oculta, en realidad está haciendo el trabajo de los piratas informáticos por ellos.
Investigadores de la firma de ciberseguridad centrada en firmware Eclypsium revelaron hoy que descubrieron un mecanismo oculto en el firmware de las placas base vendidas por el fabricante taiwanés Gigabyte, cuyos componentes se usan comúnmente en juegos y otras computadoras de alto rendimiento. Cada vez que se reinicia una computadora con la placa base Gigabyte en cuestión, Eclypsium descubrió que el código en el firmware de la placa base inicia de manera invisible una actualización que se ejecuta en la computadora y, a su vez, carga y ejecuta otra pieza de software.
Si bien Eclypsium dice que el código oculto está destinado a ser una herramienta inofensiva para mantener actualizado el firmware de la placa base, los investigadores descubrieron que se implementa de manera insegura, lo que podría permitir que el mecanismo sea secuestrado e instalado malware en lugar del previsto por Gigabyte. Y debido a que el actualizador se ejecuta desde el firmware de una computadora fuera de su sistema operativo, es difícil para los usuarios desinstalarlo o incluso encontrarlo.
«Si tiene una de estas máquinas, debe preocuparse por el hecho de que básicamente toma algo de Internet y lo usa sin que usted se involucre, y no lo hace de manera segura», dice el director de estrategia John Loucaides. e investigación en Eclypsium. «La idea de ir por debajo del usuario final y hacerse cargo de su máquina no le sienta bien a la mayoría de las personas».
Es publicación de blog sobre investigación, Eclypsium enumera 271 modelos de placas base Gigabyte que, según los investigadores, están afectados. Loucaides agrega que los usuarios que desean ver qué placa base está usando su computadora pueden marcar «Inicio» en Windows, luego «Información del sistema».
Eclypsium dice que descubrió el mecanismo de firmware oculto de Gigabyte mientras investigaba las computadoras de los clientes en busca de código malicioso basado en firmware, una herramienta cada vez más común para los piratas informáticos sofisticados. Por ejemplo, en 2018, los piratas informáticos que trabajaban para la agencia de inteligencia militar rusa GRU fueron vistos instalando silenciosamente software antirrobo basado en firmware LoJack en las máquinas de las víctimas como táctica de espionaje. Los piratas informáticos respaldados por el estado chino fueron descubiertos dos años después reutilización de una herramienta de spyware basada en firmware una aplicación creada por la empresa de alquiler de piratas informáticos Hacking Team, que tiene como objetivo las computadoras de diplomáticos y personal de ONG en África, Asia y Europa. Los investigadores de Eclypsium se sorprendieron al descubrir que el mecanismo de actualización de Gigabyte, que informa su escaneo de detección automática, realiza algunas de las mismas funciones sospechosas que las herramientas de piratería patrocinadas por el gobierno: se oculta en el firmware e instala silenciosamente un programa que descarga código de Internet.
El programa de actualización de Gigabyte por sí solo puede haber generado inquietudes entre los usuarios que no confían en que Gigabyte instale silenciosamente código en sus máquinas con una herramienta casi invisible, o que temen que el mecanismo de Gigabyte pueda ser explotado por piratas informáticos que comprometan al fabricante de la placa base para aprovechar su acceso oculto a un ataque a la cadena de suministro de software. Pero Eclypsium también descubrió que el mecanismo de actualización se implementó con vulnerabilidades evidentes que podrían permitir su secuestro: descarga código en la máquina de un usuario sin la autenticación adecuada, a veces incluso a través de una conexión HTTP insegura en lugar de HTTPS. Esto permitiría que la fuente de instalación sea suplantada por un ataque de «intermediario» por parte de cualquier persona que pueda interceptar la conexión a Internet de un usuario, como una red Wi-Fi no autorizada.
En otros casos, el actualizador instalado por el mecanismo de firmware de Gigabyte está configurado para descargar desde un almacenamiento conectado a la red de área local (NAS), una función que parece estar diseñada para que las redes corporativas administren las actualizaciones sin requerir que todas las máquinas se conecten a Internet. Pero Eclypsium advierte que, en estos casos, un actor malicioso en la misma red puede falsificar la ubicación del NAS e instalar invisiblemente su propio malware en su lugar.
Eclypsium dice que trabajó con Gigabyte para divulgar los hallazgos al fabricante de la placa base y que Gigabyte ha dicho que planea solucionar los problemas. Gigabyte no respondió a las múltiples solicitudes de comentarios de WIRED sobre los hallazgos de Eclypsium.
Aunque Gigabyte está lanzando una solución para su problema de firmware, después de todo, el problema es causado por una herramienta de Gigabyte diseñada para automatizar las actualizaciones de firmware, Loucaides de Eclypsium señala que las actualizaciones de firmware a menudo se suspende silenciosamente en las máquinas de los usuarios, en muchos casos por su complejidad y la dificultad de hacer coincidir firmware y hardware. «Sigo pensando que esto se convertirá en un problema bastante común con las tarjetas Gigabyte en los próximos años», dice Loucaides.
Dados los millones de dispositivos potencialmente afectados, el descubrimiento de Eclypsium es «preocupante», dice Rich Smith, director de seguridad de la startup de ciberseguridad de la cadena de suministro Crash Override. Smith ha publicado investigaciones sobre vulnerabilidades de firmware y ha evaluado los hallazgos de Eclypsium. Compara la situación con el escándalo del rootkit de Sony a mediados de la década de 2000. Sony había ocultado un código de administración de derechos digitales en los CD, que se instalaba de manera invisible en las computadoras de los usuarios, creando una vulnerabilidad que los piratas informáticos usaban para ocultar su malware. «Se podían utilizar técnicas que tradicionalmente han utilizado los actores maliciosos, pero eso no era aceptable, se pasaba de la raya», dice Smith. “No puedo explicar por qué Gigabyte eligió este método para entregar su software. Pero me parece que esto cruza una línea similar en el espacio del firmware».
Smith admite que la herramienta de firmware oculta de Gigabyte probablemente no tenía intenciones maliciosas o fraudulentas. Pero al dejar agujeros de seguridad en el código invisible que subyace en el sistema operativo de muchas computadoras, se socava la confianza de los usuarios en sus máquinas. «Aquí no hay intención, solo descuido. Pero no quiero que nadie escriba mi firmware de manera descuidada”, dice Smith. «Si no confías en tu firmware, estás construyendo tu casa sobre arena».
Esta historia fue publicada originalmente Wired.com.
Especialista web. Evangelista de viajes. Alborotador. Fanático de la música amigable con los hipster. Experto en comida
