Hace poco se dio a conocer información qué investigadores de Eclypsium han identificado un comportamiento anómalo en sistemas con placas «Gigabyte».
Los investigadores menciona que detectaron que el «firmware UEFI» utilizado en las placas realizaron la sustitución y lanzamiento del archivo ejecutable para la plataforma Windows, todo esto sin informar al usuario durante el arranque del sistema. A su vez, se menciona que el ejecutable lanzado se descargó de la red y que posteriormente lanzó ejecutables de terceros.
En un análisis más detallado de la situación, se mostró que se produce un comportamiento idéntico en cientos de modelos diferentes de placas Gigabyte y está asociado con el funcionamiento de la aplicación App Center suministrada por la empresa.
Recientemente, la plataforma Eclypsium comenzó a detectar comportamientos sospechosos de puertas traseras dentro de los sistemas de Gigabyte en la naturaleza. Estas detecciones fueron impulsadas por métodos de detección heurísticos, que juegan un papel importante en la detección de amenazas nuevas y previamente desconocidas en la cadena de suministro, donde los productos o actualizaciones de tecnología de terceros legítimos se han visto comprometidos.
Sobre el proceso, se menciona que el archivo ejecutable se incorpora al firmware UEFI y que este se almacena en el disco durante el proceso de inicialización del sistema en el momento del arranque. En la etapa de lanzamiento del controlador (DXE, Driver Execution Environment), utilizando el módulo de firmware WpbtDxe.efi, este archivo se carga en la memoria y se escribe en la tabla WPBT ACPI, cuyo contenido se carga y ejecuta posteriormente por el administrador de sesión de Windows ( smss.exe, subsistema del administrador de sesiones de Windows).
Antes de cargar, el módulo verifica que la función «Descarga e instalación de APP Center» estuviera habilitada en el BIOS/UEFI, ya que de forma predeterminada esto está deshabilitado. Durante el inicio en el lado de Windows, el código sustituye el archivo ejecutable en el sistema, que se registra como un servicio del sistema.
Nuestro análisis de seguimiento descubrió que el firmware en los sistemas Gigabyte está descargando y ejecutando un ejecutable nativo de Windows durante el proceso de inicio del sistema, y este ejecutable luego descarga y ejecuta cargas útiles adicionales de manera insegura.
Después de iniciar el servicio GigabyteUpdateService.exe, se descarga la actualización de los servidores de Gigabyte, pero esto se realiza sin la debida verificación de los datos descargados mediante una firma digital y sin utilizar el cifrado del canal de comunicación.
Ademas de ello, se menciona que se permitía la descarga a través de HTTP sin cifrado, pero incluso cuando se accedía a través de HTTPS, el certificado no se verificaba, lo que permitía reemplazar el archivo mediante ataques MITM y organizar la ejecución de su código en el sistema del usuario.
Este backdoor parece estar implementando una funcionalidad intencional y requeriría una actualización de firmware para eliminarla por completo de los sistemas afectados. Si bien nuestra investigación en curso no ha confirmado la explotación por parte de un hacker específico, un backdoor generalizado activo que es difícil de eliminar representa un riesgo en la cadena de suministro para las organizaciones con sistemas Gigabyte.
Para complicar la situación, la eliminación completa del problema requiere una actualización de firmware, ya que la lógica para ejecutar código de terceros está integrada en el firmware. Como protección temporal contra un ataque MITM a los usuarios de placas Gigabyte, se recomienda bloquear las URL anteriores en el firewall.
Gigabyte es consciente de la inadmisibilidad de la presencia en el firmware de tales servicios inseguros de actualización automática e integrados por la fuerza en el sistema, ya que comprometer la infraestructura de la empresa o de un miembro de la cadena de suministro (supply chain) puede dar lugar a ataques a usuarios y la organización, ya que de momento el lanzamiento de malware no está controlado a nivel del sistema operativo.
Como resultado, cualquier actor de amenazas puede usar esto para infectar sistemas vulnerables de manera persistente, ya sea a través de MITM o de una infraestructura comprometida.
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.