Recientemente, se ha detectado por parte de analistas especializados comportamientos sospechosos de puertas traseras dentro de los sistemas de Gigabyte en despachados al público.
Estas detecciones han sido impulsadas por métodos de detección heurísticos, los cuales desempeñan un papel importante en la identificación de amenazas nuevas y previamente desconocidas en la cadena de suministro, donde productos o actualizaciones de tecnología de terceros legítimos han sido comprometidos.
Su análisis de seguimiento reveló que el firmware en los sistemas de Gigabyte está descargando y ejecutando un ejecutable nativo de Windows durante el proceso de inicio del sistema.
Posteriormente, este ejecutable descarga y ejecuta cargas adicionales de manera segura.
Estas acciones utilizan las mismas técnicas que otras funciones similares a puertas traseras OEM, como la conocida como Computrace (también conocida como LoJack DoubleAgent), que ha sido abusada por actores de amenazas, e incluso implanta firmware como Sednit LoJax, MosaicRegressor y Vector-EDK.
El análisis posterior ha revelado que este mismo código está presente en cientos de modelos de PC Gigabyte. Actualmente, se está trabajando en colaboración con Gigabyte para abordar esta implementación segura de su capacidad de centro de aplicaciones.
El análisis de seguimiento ha revelado que el firmware en los sistemas de Gigabyte descarga y ejecuta un ejecutable nativo de Windows durante el proceso de inicio del sistema.
Posteriormente, este ejecutable descarga y ejecuta cargas útiles adicionales de manera segura.
Estas acciones utilizan técnicas similares a las puertas traseras OEM, como la conocida puerta trasera Computrace (también conocida como LoJack DoubleAgent), que ha sido abusada por actores de amenazas.
Además, se ha descubierto que se implanta firmware como Sednit LoJax, MosaicRegressor y Vector-EDK. Es importante destacar que este mismo código ha sido identificado en cientos de modelos de PC Gigabyte.
Actualmente, se está trabajando en colaboración con Gigabyte para abordar esta implementación segura de su capacidad de centro de aplicaciones.
Se están tomando medidas para investigar y resolver estos comportamientos sospechosos de puertas traseras, con el objetivo de salvaguardar la seguridad y la integridad de los sistemas afectados.
Con el fin de proteger a las organizaciones de los actores malintencionados, también se ha decidido divulgar públicamente esta información y las estrategias defensivas en un plazo más acelerado que el habitual en la divulgación de vulnerabilidades.
Esta puerta trasera parece estar implementando una funcionalidad intencional y requeriría una actualización de firmware para eliminarla por completo de los sistemas afectados.
Si bien la investigación en curso no ha confirmado la explotación por parte de un actor de amenazas específico, una puerta trasera activa generalizada que es difícil de eliminar representa un riesgo en la cadena de suministro para las organizaciones con sistemas Gigabyte.
A un alto nivel, los vectores de ataque relevantes incluyen:
Compromiso en la cadena de suministro
Compromiso en el entorno local: La presencia de esta puerta trasera en los sistemas Gigabyte puede llevar a un compromiso en el entorno local de las organizaciones. Los actores malintencionados podrían aprovechar esta funcionalidad del firmware para acceder y controlar los sistemas de forma remota, lo que podría resultar en el robo de datos sensibles, la interrupción de operaciones críticas o el acceso no autorizado a recursos internos.
Persistencia de malware a través de la funcionalidad del firmware: La persistencia del malware es otro riesgo significativo asociado con esta puerta trasera en los sistemas Gigabyte. Dado que el firmware descarga y ejecuta cargas adicionales de manera segura, existe la posibilidad de que el malware se mantenga activo y oculto en el sistema, incluso después de realizar medidas de mitigación iniciales. Esto podría permitir a los atacantes mantener el acceso no autorizado y realizar actividades maliciosas de manera continua.
Es importante destacar que, después de seguir un cronograma de divulgación de vulnerabilidades más tradicional, se planea publicar detalles sobre cómo funciona esta puerta trasera específica. Esto permitirá una comprensión más profunda de los mecanismos utilizados y ayudará a los usuarios y administradores a implementar las mitigaciones sugeridas de manera efectiva.
Es fundamental que las organizaciones afectadas por esta vulnerabilidad sigan de cerca las actualizaciones y comunicaciones proporcionadas por Gigabyte y las autoridades de seguridad cibernética. Al aplicar las actualizaciones de firmware recomendadas y seguir las mejores prácticas de seguridad, se podrán reducir los riesgos asociados con esta puerta trasera y proteger los sistemas de posibles compromisos.
Resultados Clave
Hay dos aspectos importantes de nuestra investigación:
La información que proporcionas sugiere que Eclypsium, una empresa especializada en seguridad informática, ha desarrollado una heurística automatizada para detectar firmware en los sistemas de la marca Gigabyte que eliminan un binario ejecutable de Windows durante el proceso de inicio del sistema operativo. Este binario ejecutable es responsable de descargar y ejecutar cargas útiles adicionales de Internet de manera segura.
La detección de esta actividad sospechosa es preocupante porque implica que se están encontrando numerosos casos similares en los sistemas de Gigabyte. Ante esta situación, Eclypsium lleva a cabo análisis constantes a gran escala de la cadena de suministro de problemas de tecnología de la información. Esto significa que están investigando activamente y evaluando posibles riesgos y vulnerabilidades relacionadas con los productos y componentes de tecnología de la información de Gigabyte.
Estas acciones de Eclypsium indican una respuesta proactiva para identificar y abordar posibles amenazas en los sistemas de la marca Gigabyte. Es importante que los usuarios estén al tanto de estos problemas de seguridad y sigan las recomendaciones y actualizaciones proporcionadas por Gigabyte y Eclypsium para proteger sus sistemas contra posibles ataques o explotaciones. Además, se recomienda mantenerse informado sobre las últimas actualizaciones de seguridad y parches proporcionados por los fabricantes de hardware y software.
Descubierto binario ejecutable de Windows oculto en firmware UEFI, plantea preocupaciones de seguridad
En un reciente estudio, se ha descubierto un intrigante hallazgo en el firmware UEFI de un sistema operativo, que podría tener serias implicaciones para la seguridad de los usuarios. El archivo en cuestión, identificado como 8ccbee6f7858ac6b92ce23594c9e2563ebcef59414b5ac13ebebde0c715971b2.bin, es un binario nativo ejecutable de Windows que ha sido integrado en el binario de firmware UEFI.
El archivo ejecutable de Windows se encuentra en un volumen de firmware UEFI que está asociado con el GUID AEB1671D-019C-4B3B-BA-00-35-A2-E6-28-04-36. Lo que hace que este descubrimiento sea aún más inquietante es que este ejecutable es instalado en el disco como parte del proceso de arranque del sistema, una técnica que ha sido empleada en el pasado por implantes UEFI y puertas traseras.
Durante la fase del Entorno de ejecución del controlador (DXE) del proceso de arranque del firmware UEFI, un módulo de firmware conocido como “WpbtDxe.efi” utiliza el mencionado GUID para cargar el archivo ejecutable de Windows directamente en la memoria, y lo instala en una tabla WPBT ACPI. Posteriormente, este archivo ejecutable es cargado y ejecutado por el subsistema del administrador de sesión de Windows (smss.exe) al iniciar el sistema operativo.
Es importante destacar que el módulo “WpbtDxe.efi” verifica si la función “Descargar e instalar el centro de aplicaciones” ha sido habilitada en la configuración de BIOS/UEFI antes de proceder a instalar el ejecutable en la tabla WPBT ACPI. Aunque esta configuración parece estar desactivada de forma predeterminada, se ha observado que en el sistema analizado estaba habilitada.
Esta configuración en la BIOS/UEFI y el proceso detallado plantean serias interrogantes acerca de la integridad y seguridad del sistema. La presencia de un implante UEFI o una puerta trasera podría permitir la introducción de software malicioso o funcionalidad oculta en el firmware UEFI, lo que potencialmente pondría en riesgo la seguridad y privacidad de los usuarios.
Si sospechas que tu sistema podría estar comprometido, es imperativo tomar medidas inmediatas para investigar y abordar esta situación. Se recomienda escanear minuciosamente el sistema en busca de malware, actualizar el firmware UEFI a la versión más reciente proporcionada por el fabricante y, considerar restablecer la configuración de BIOS/UEFI a los valores predeterminados de fábrica para deshabilitar cualquier función sospechosa.
Es importante tener en cuenta que el análisis inicial no puede determinar con certeza si el archivo binario es malicioso o no. Ante cualquier inquietud relacionada con la seguridad, se aconseja buscar la asistencia de un profesional en seguridad informática o contactar al soporte técnico del fabricante del sistema para obtener una evaluación más precisa y orientación adecuada.
Este descubrimiento subraya la importancia de mantener una constante vigilancia y actualización en cuanto a las amenazas de seguridad cibernética. Las implicaciones potenciales de un archivo ejecutable oculto en el firmware UEFI son motivo de preocupación, y es fundamental que los usuarios tomen las medidas necesarias para salvaguardar sus sistemas y proteger su información sensible.
se ha descubierto una etapa adicional en el firmware UEFI comprometido, que involucra la descarga y ejecución de ejecutables adicionales en el sistema. Este hallazgo pone de relieve los riesgos significativos asociados con los implantes de firmware UEFI y las amenazas a la seguridad que plantean para los usuarios.
El ejecutable de Windows eliminado, identificado como “GigabyteUpdateService.exe”, utiliza la API nativa de Windows para escribir el contenido de un ejecutable incrustado en el sistema de archivos en la ubicación %SystemRoot%\system32. A continuación, se establecen entradas en el registro del sistema para ejecutar este archivo como un servicio de Windows. Este mecanismo es similar a los métodos utilizados por otros implantes de firmware UEFI notorios, como LoJax, MosaicRegressor, MoonBounce y Vector-EDK, que han sido mencionados anteriormente en investigaciones de seguridad.
En esta segunda etapa, el ejecutable eliminado se presenta como una aplicación .NET y tiene la capacidad de descargar y ejecutar cargas útiles adicionales desde una de las siguientes direcciones, dependiendo de la configuración específica:
- http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://software-nas/Swhttp/LiveUpdate4
Es importante destacar que el uso de HTTP simple para actualizar el código privilegiado (la primera opción mencionada) es altamente inseguro, ya que es susceptible a ataques de intercepción en el medio (MITM). Sin embargo, se observó que incluso cuando se utiliza la opción habilitada para HTTPS, la validación del certificado del servidor remoto no se implementa adecuadamente, lo que también abre la posibilidad de MITM en ese caso.
Estos descubrimientos acentúan la importancia crítica de garantizar la seguridad del firmware UEFI y la protección del sistema contra implantes y amenazas similares. Los usuarios deben tomar medidas proactivas para salvaguardar sus sistemas, incluyendo la implementación de medidas de seguridad robustas, la actualización del firmware UEFI a la versión más reciente proporcionada por el fabricante y la adopción de mejores prácticas de seguridad informática.
Ante la presencia de un posible implante de firmware UEFI o cualquier actividad sospechosa, se recomienda encarecidamente buscar la asistencia de profesionales en seguridad informática, así como contactar al soporte técnico del fabricante para recibir orientación especializada en la mitigación de riesgos y la protección del sistema.
Este descubrimiento subraya la necesidad continua de una vigilancia constante y una respuesta eficiente a las amenazas de seguridad cibernética en evolución. La colaboración entre la industria, los investigadores de seguridad y los usuarios finales es esencial para enfrentar estos desafíos y garantizar la integridad y seguridad de los sistemas informáticos.
El firmware no implementa ninguna verificación de firma digital criptográfica ni ninguna otra validación sobre los ejecutables.
El ejecutable descartado y las herramientas Gigabyte descargadas normalmente tienen una firma criptográfica Gigabyte que cumple con los requisitos de firma de código de Microsoft Windows.
Pero esto hace poco para compensar el uso malicioso, especialmente si se explota usando técnicas de Living-off-the- Land (como en la alerta reciente sobre los atacantes Volt Typhoon ).
Como resultado, cualquier actor de amenazas puede usar esto para infectar sistemas vulnerables de forma persistente, ya sea a través de MITM o de una infraestructura comprometida.
Riesgos e Impacto
Estos problemas exponen a las organizaciones a una amplia gama de riesgos y escenarios de ataque.
Abuso de una puerta trasera OEM por parte de los actores de amenazas: anteriormente, los actores de amenazas se han aprovechado del software de “puerta trasera OEM” legítimo pero inseguro/vulnerable integrado en el firmware de la PC.
En particular, el grupo Sednit (APT28, FancyBear) explotó Computrace LoJack para hacerse pasar por una característica legítima antirrobo de computadoras portátiles.
Compromiso de la cadena de suministro y la infraestructura de actualización del OEM: Gigabyte tiene documentación en su sitio web para esta función, por lo que puede ser legítimo, pero no podemos confirmar lo que está sucediendo de Gigabyte.
En agosto de 2021, Gigabyte experimentó una violación de datos críticos por parte del grupo RansomEXX y luego experimentó otra violación en octubre de 2021 por parte del grupo AvosLocker .
Persistencia mediante el uso de rootkits e implants UEFI : los rootkits e implants UEFI son algunas de las formas de malware más sigilosas y poderosas que existen.
Residen en el firmware de las placas base o dentro de las particiones del sistema EFI de los medios de almacenamiento, y se ejecutan antes que el sistema operativo, lo que les permite subvertir por completo el sistema operativo y los controles de seguridad que se ejecutan en capas superiores.
Además, dado que la mayor parte del código UEFI existe en la placa base en el lugar de las unidades de almacenamiento, las amenazas UEFI persistirán fácilmente incluso si se borran las unidades y se reinstala el sistema operativo.
La tasa de descubrimiento de nuevos rootkits UEFI se ha acelerado con dificultad en los últimos años, como lo demuestra el descubrimiento de LoJax (2018), MosaicRegressor (2020), FinSpy (2021) ESPecter (2021), MoonBounce(2022), CosmicStrand (2022) y BlackLotus (2023).
La mayoría de estos se utilizaron para permitir la persistencia de otro malware basado en el sistema operativo.
Estas imágenes de firmware de Gigabyte y el ejecutable de Windows persistentemente descartado permiten el mismo escenario de ataque.
A menudo, los implantes anteriores hacían que sus ejecutables nativos de Windows parecieran herramientas de actualización legítimas. En el caso de MosaicRegressor, la carga útil de Windows se denominó “IntelUpdater.exe”
Ataques MITM a las funciones de actualización de firmware y software: además, la naturaleza insegura del proceso de actualización abre la puerta a las técnicas MITM a través de un enrutador comprometido, un dispositivo comprometido en el mismo segmento de red, envenenamiento de DNS u otra manejo de la red.
También es importante tener en cuenta que la tercera opción de conexión, https://software-nas/Swhttp/LiveUpdate4, no es un nombre de dominio completo, sino un nombre de máquina que presumiblemente estaría en la red local.
Esto significa que un atacante en una subred local podría engañar al implantar para que se conecte a su sistema, sin necesidad de falsificación de DNS.
Riesgo continuo debido a un comportamiento no deseado dentro del firmware oficial : las puertas traseras ocultas dentro de UEFI u otro firmware pueden ser difíciles de eliminar.
Incluso si se elimina el ejecutable de la puerta trasera, el firmware lo dejará simplemente caer la próxima vez que se inicie el sistema.
Este desafío se activará antes al intentar eliminar Computrace LoJack y se relacionará con vulnerabilidades en Lenovo Service Engine en computadoras portátiles y de escritorio .
Recomendaciones del Editor
Recomendamos tener precaución al usar sistemas Gigabyte o sistemas con placas base afectadas.
Las organizaciones también pueden tomar las siguientes medidas para minimizar el riesgo:
Escanee y supervise los sistemas similares y las actualizaciones de firmware para detectar los sistemas Gigabyte afectados y las herramientas a puertas traseras integradas en el firmware. Actualice los sistemas al último firmware y software validado para abordar problemas de seguridad como este.
Inspeccione y deshabilite la función “Descarga e instalación del centro de aplicaciones” en la configuración de UEFI/BIOS en los sistemas Gigabyte y establezca una contraseña de BIOS para evitar cambios maliciosos.
Los administradores también pueden bloquear las siguientes URL:
http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
https://software-nas/Swhttp/LiveUpdate4
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
Lea más sobre Ciberseguridad en;
Horabot 2023: la nueva campaña que apunta a América Latina
Operación Triangulación: KUMA descubre una campaña APT 2023
Netskope Intelligent SSE + Amazon Security: Amenazas en entornos híbridos 2023
Dark Pink vuelve con fuerza: 5 nuevas organizaciones en 3 países
Check Point Harmony detecta ataques BEC 3.0
NO TE PIERDAS IT CONNECT SECURE STREAM