Malas noticias para Gigabyte. después del ransomware RobinHood en 2020 y más recientemente el Rootkit ComicStrand en julio de 2022Los investigadores de seguridad advierten que el firmware UEFI (ex BIOS) de varios cientos de modelos de placas base del proveedor de TI puede explotarse para inyectar código ejecutable en el kernel de Windows. "Si bien nuestra investigación en curso no ha confirmado la explotación por parte de un actor de amenazas específico, una puerta trasera activa y generalizada que es difícil de eliminar representa un riesgo para las empresas con sistemas Gigabyte", dijeron los investigadores. la empresa de seguridad Eclypsium en un informe.

Los investigadores de Eclypsium descubrieron esta brecha después de alertas emitidas por su plataforma sobre un comportamiento que parecía consistente con un rootkit BIOS/UEFI. Estos rootkits, también conocidos como bootkits, son muy peligrosos y difíciles de eliminar porque residen en el firmware de bajo nivel del sistema e inyectan código en el sistema operativo en cada arranque. Esto significa que reinstalar el sistema operativo o incluso cambiar el disco duro no eliminaría la infección y volvería a aparecer. UEFI es un mini-OS en sí mismo, compuesto por diferentes módulos que gestionan la inicialización del hardware antes de transmitir la secuencia de arranque al gestor de arranque y al sistema operativo instalado. El proceso de inyectar código de firmware en la memoria del sistema operativo ya se ha utilizado para implementar varias funciones. Por ejemplo, algunas BIOS vienen con una función antirrobo llamada Absolute LoJack, anteriormente conocida como Computrace, que permite a los usuarios rastrear y borrar de forma remota su computadora en caso de robo. Esta característica la implementa un agente de BIOS que inyecta una aplicación en el sistema operativo, incluso si se reinstala.

Índice
  1. Conexiones inseguras al servidor de descarga
  2. Una solución propuesta

Conexiones inseguras al servidor de descarga

Según los investigadores, grupos APT sofisticados están explotando activamente implementaciones similares. Los investigadores de seguridad ya advierten desde 2014 que, por ejemplo, el agente LoJack para Windows podría ser mal utilizado y estar relacionado con malware. Luego, en 2018, los investigadores descubrieron que APT28, también conocido como Fancy Bear, una división de piratería del servicio de inteligencia militar de Rusia, estaba haciendo un mal uso de la tecnología. El caso es similar con el módulo de firmware de Gigabyte, que inyecta un ejecutable de Windows en la tabla ACPI WPBT durante el inicio del sistema, desde donde el subsistema Administrador de sesión de Windows (smss.exe) lo ejecuta automáticamente y escribe un archivo en la carpeta system32 de Windows. llamado GigabyteUpdateService.exe. El objetivo en este caso es que el BIOS implemente automáticamente una aplicación de actualización de controladores y sistema Gigabyte cuando la función del BIOS llamada Descarga e instalación del Centro de aplicaciones esté habilitada.

La aplicación de actualización de Gigabyte busca automáticamente actualizaciones para descargar y ejecutar comprobando tres URL. Uno de ellos es un servidor de descargas de Gigabyte a través de HTTPS, otro es el mismo servidor pero la conexión utiliza HTTP simple y el tercero es una URL a un dominio no calificado llamado software-nas que puede ser un dispositivo en la red local. Dos de los tres métodos de descarga de archivos son muy problemáticos. Las conexiones HTTP no cifradas son vulnerables a ataques de intermediario. Un atacante en la misma red o que controle un enrutador en la red puede dirigir el sistema a un servidor bajo su control y la aplicación no tendría forma de saber que no está hablando con el servidor Gigabyte real. La tercera URL es igual de problemática e incluso más fácil de abusar, porque un atacante en la misma red, en un sistema comprometido, podría implementar un servidor web y configurar el nombre de la computadora como software-nas sin siquiera recurrir a la suplantación de DNS u otras técnicas. . Finalmente, incluso la conexión HTTPS es vulnerable al intermediario porque la aplicación de actualización no implementa correctamente la validación del certificado del servidor, lo que significa que los atacantes aún pueden falsificar el servidor.

Una solución propuesta

Otro problema es que aunque las herramientas y actualizaciones de Gigabyte están firmadas digitalmente con una firma válida, el firmware no realiza ninguna verificación o validación de esta marca en los ejecutables, por lo que los atacantes podrían abusar fácilmente de la funcionalidad. “El ritmo de descubrimiento de nuevos rootkits UEFI se ha acelerado significativamente en los últimos años, como lo demuestra el descubrimiento de LoJax (2018), MosaicRegressor (2020), FinSpy (2021), ESPecter (2021), MoonBounce (2022), CosmicStrand (2022). ) y BlackLotus (2023)”, explican los investigadores de Eclypsium. “La mayoría de ellos se utilizaron para permitir que persistiera otro malware basado en sistemas operativos. Las imágenes de firmware de Gigabyte y el ejecutable persistente de Windows permiten el mismo escenario de ataque. A menudo, los implantes antes mencionados disfrazan sus ejecutables nativos de Windows como herramientas de actualización legítimas. En el caso de MosaicRegressor, la carga útil de Windows se denominó IntelUpdater.exe”.

Los investigadores aconsejan a las empresas con sistemas Gigabyte que desactiven la función de descarga e instalación del Centro de aplicaciones en UEFI y bloqueen las tres URL peligrosas en los firewalls. Las organizaciones también pueden buscar intentos de inicio de sesión en estas URL para detectar sistemas potencialmente afectados en sus redes, pero en términos más generales deben buscar inicios de sesión que puedan provenir de características similares de otros fabricantes. Incluso si no se implementan en el firmware, las aplicaciones preinstaladas por los fabricantes de PC en las computadoras también pueden tener vulnerabilidades. esto es lo que paso con una aplicación de Lenovo llamada Superfishque implementó un certificado raíz que no era de confianza y que los atacantes podrían utilizar indebidamente.