Los investigadores advierten de que el firmware UEFI de muchas placas base fabricadas por el fabricante de hardware para PC Gigabyte inyecta código ejecutable dentro del kernel de Windows de una forma insegura de la que pueden abusar los atacantes para comprometer los sistemas. Sofisticados grupos APT están abusando de implementaciones similares en la naturaleza.
"Si bien nuestra investigación en curso no ha confirmado la explotación por un actor de amenaza específico, una puerta trasera activa generalizada que es difícil de eliminar plantea un riesgo para la cadena de suministro para las organizaciones con sistemas Gigabyte", dijeron investigadores de la firma de seguridad Eclypsium en un informe.
Inyección de malware ejecutable desde el firmware
Los investigadores de Eclypsium descubrieron la implementación vulnerable después de que su plataforma detectara comportamientos que parecían coherentes con un rootkit de BIOS/UEFI. Este tipo de rootkits, también conocidos como bootkits, son muy peligrosos y difíciles de eliminar porque residen en el firmware de bajo nivel del sistema e inyectan código dentro del sistema operativo cada vez que éste arranca.
Esto significa que reinstalar el sistema operativo o incluso cambiar la unidad de disco duro no eliminaría la infección y ésta reaparecería.
El firmware UEFI es un mini-OS en sí mismo con diferentes módulos que se encarga de la inicialización del hardware antes de pasar la secuencia de arranque al gestor de arranque y al sistema operativo instalado.
El proceso de inyectar código del firmware en la memoria del sistema operativo se ha utilizado antes para diversas implementaciones de funciones. Por ejemplo, algunas BIOS vienen con una función antirrobo llamada Absolute LoJack, antes conocida como Computrace, que permite a los usuarios rastrear y borrar remotamente sus ordenadores en caso de robo.
La forma en que esto se implementa es haciendo que un agente de BIOS inyecte una aplicación en el sistema operativo incluso si se reinstala.
Los investigadores de seguridad advirtieron desde 2014 que se puede abusar del agente LoJack Windows y hacer que se conecte a un servicio falso. Luego, en 2018, los investigadores descubrieron que la tecnología estaba siendo abusada por APT28, alias Fancy Bear, una división de hacking del servicio de inteligencia militar ruso.
El caso es similar con el módulo de firmware de Gigabyte, que inyecta un ejecutable de Windows en la tabla ACPI de WPBT durante el arranque del sistema, desde donde es ejecutado automáticamente por el subsistema Windows Session Manager (smss.exe) y escribe un archivo en la carpeta system32 de Windows llamado GigabyteUpdateService.exe.
El objetivo en este caso es que la BIOS despliegue automáticamente una aplicación de actualización de sistema y controladores de Gigabyte cuando la función de la BIOS llamada APP Center Download & Install está activada.
No hay comentarios:
Publicar un comentario