Cuando el firmware es un peligro: descubren ejecutables en motherboards de Gigabyte
El descubrimiento de ejecutables ocultos en los firmwares del hardware presenta serios riesgos de seguridad informática. Se trata de sistemas que pueden burlar la protección de los sistemas y solo se descubren por procedimientos heurísticos.

Analistas especializados detectaron comportamientos sospechosos de puertas traseras dentro de los sistemas de Gigabyte que ya están disponibles al público.

Estas detecciones fueron impulsadas por métodos de detección heurísticos, los cuales desempeñan un papel importante en la identificación de amenazas nuevas en la cadena de suministro, donde productos o actualizaciones de tecnología de terceros legítimos han sido comprometidos. 
 

Descubren una puerta trasera en Gigabyte


El análisis reveló que el firmware en los sistemas de Gigabyte está descargando y ejecutando un ejecutable nativo de Windows durante el proceso de inicio del sistema. Posteriormente, este ejecutable descarga y ejecuta cargas adicionales de manera segura.

Estas acciones utilizan las mismas técnicas que otras funciones similares a puertas traseras OEM, como la conocida como Computrace (también conocida como LoJack DoubleAgent), que ha sido abusada por actores de amenazas, e incluso implanta firmware como Sednit LoJax, MosaicRegressor y Vector-EDK.

Se trata de un problema de seguridad informática que está presente en cientos de modelos de PCs por lo cual no es fácil conocer su alcance preciso. Se están tomando medidas para investigar y resolver estos comportamientos sospechosos de puertas traseras, con el objetivo de salvaguardar la seguridad y la integridad de los sistemas afectados.
 

Desde el firmaware se descarga un ejecutable que luego descarga software malicioso

Con el fin de proteger a las organizaciones de los actores malintencionados, también se decidió divulgar públicamente esta información y las estrategias defensivas en un plazo más acelerado que el habitual en la divulgación de vulnerabilidades.

Esta puerta trasera parece estar implementando una funcionalidad intencional y requeriría una actualización de firmware para eliminarla por completo de los sistemas afectados.

Si bien la investigación en curso no confirmó la explotación por parte de un actor de amenazas específico, una puerta trasera activa generalizada que es difícil de eliminar representa un riesgo en la cadena de suministro para las organizaciones con sistemas Gigabyte.

Eclypsium, una empresa especializada en seguridad informática, desarrolló una heurística automatizada para detectar firmware en los sistemas de la marca Gigabyte que eliminan un binario ejecutable de Windows durante el proceso de inicio del sistema operativo. Este binario ejecutable es responsable de descargar y ejecutar cargas útiles adicionales de Internet de manera segura.
 

El código malicioso fue hallado mediante heurísticas

La detección de esta actividad sospechosa es preocupante porque implica que se están encontrando numerosos casos similares en los sistemas de Gigabyte. Ante esta situación, Eclypsium lleva a cabo análisis constantes a gran escala de la cadena de suministro de problemas de tecnología de la información. Esto significa que están investigando activamente y evaluando posibles riesgos y vulnerabilidades relacionadas con los productos y componentes de tecnología de la información de Gigabyte.

Estas acciones de Eclypsium indican una respuesta proactiva para identificar y abordar posibles amenazas en los sistemas de la marca Gigabyte. Es importante que los usuarios estén al tanto de estos problemas de seguridad y sigan las recomendaciones y actualizaciones proporcionadas por Gigabyte y Eclypsium para proteger sus sistemas contra posibles ataques o explotaciones. Además, se recomienda mantenerse informado sobre las últimas actualizaciones de seguridad y parches proporcionados por los fabricantes de hardware y software.