{"id":2740,"date":"2023-06-02T14:32:54","date_gmt":"2023-06-02T17:32:54","guid":{"rendered":"https:\/\/itconnect.lat\/portal\/?p=2740"},"modified":"2023-08-17T21:39:37","modified_gmt":"2023-08-18T00:39:37","slug":"gigabyte-001","status":"publish","type":"post","link":"https:\/\/itconnect.lat\/portal\/gigabyte-001\/","title":{"rendered":"Gigabyte: descubren 1 ejecutable en su firmware"},"content":{"rendered":"

Recientemente, se ha detectado por parte de analistas especializados comportamientos sospechosos de puertas traseras dentro de los sistemas de Gigabyte en despachados al p\u00fablico.<\/h2>\n

Estas detecciones han sido impulsadas por m\u00e9todos de detecci\u00f3n heur\u00edsticos, los cuales desempe\u00f1an un papel importante en la identificaci\u00f3n de amenazas nuevas y previamente desconocidas en la cadena de suministro, donde productos o actualizaciones de tecnolog\u00eda de terceros leg\u00edtimos han sido comprometidos.<\/p>\n

Su an\u00e1lisis de seguimiento revel\u00f3 que el firmware en los sistemas de Gigabyte est\u00e1 descargando y ejecutando un ejecutable nativo de Windows durante el proceso de inicio del sistema.<\/p>\n

Posteriormente, este ejecutable descarga y ejecuta cargas adicionales de manera segura.<\/p>\n

Estas acciones utilizan las mismas t\u00e9cnicas que otras funciones similares a puertas traseras OEM, como la conocida como Computrace (tambi\u00e9n conocida como LoJack DoubleAgent), que ha sido abusada por actores de amenazas, e incluso implanta firmware como Sednit LoJax, MosaicRegressor y Vector-EDK.<\/p>\n

\"Gigabyte\"<\/a>
Gigabyte<\/figcaption><\/figure>\n

El an\u00e1lisis posterior ha revelado que este mismo c\u00f3digo est\u00e1 presente en cientos de modelos de PC Gigabyte. Actualmente, se est\u00e1 trabajando en colaboraci\u00f3n con Gigabyte para abordar esta implementaci\u00f3n segura de su capacidad de centro de aplicaciones.<\/p>\n

El an\u00e1lisis de seguimiento ha revelado que el firmware en los sistemas de Gigabyte descarga y ejecuta un ejecutable nativo de Windows durante el proceso de inicio del sistema.<\/p>\n

Posteriormente, este ejecutable descarga y ejecuta cargas \u00fatiles adicionales de manera segura.<\/p>\n

Estas acciones utilizan t\u00e9cnicas similares a las puertas traseras OEM, como la conocida puerta trasera Computrace (tambi\u00e9n conocida como LoJack DoubleAgent), que ha sido abusada por actores de amenazas.<\/p>\n

Adem\u00e1s, se ha descubierto que se implanta firmware como Sednit LoJax, MosaicRegressor y Vector-EDK. Es importante destacar que este mismo c\u00f3digo ha sido identificado en cientos de modelos de PC Gigabyte.<\/p>\n

Actualmente, se est\u00e1 trabajando en colaboraci\u00f3n con Gigabyte para abordar esta implementaci\u00f3n segura de su capacidad de centro de aplicaciones.<\/p>\n

\"Gigabyte\"<\/a>
Gigabyte<\/figcaption><\/figure>\n

Se est\u00e1n tomando medidas para investigar y resolver estos comportamientos sospechosos de puertas traseras, con el objetivo de salvaguardar la seguridad y la integridad de los sistemas afectados.<\/p>\n

Con el fin de proteger a las organizaciones de los actores malintencionados, tambi\u00e9n se ha decidido divulgar p\u00fablicamente esta informaci\u00f3n y las estrategias defensivas en un plazo m\u00e1s acelerado que el habitual en la divulgaci\u00f3n de vulnerabilidades.<\/p>\n

Esta puerta trasera parece estar implementando una funcionalidad intencional y requerir\u00eda una actualizaci\u00f3n de firmware para eliminarla por completo de los sistemas afectados.<\/p>\n

Si bien la investigaci\u00f3n en curso no ha confirmado la explotaci\u00f3n por parte de un actor de amenazas espec\u00edfico, una puerta trasera activa generalizada que es dif\u00edcil de eliminar representa un riesgo en la cadena de suministro para las organizaciones con sistemas Gigabyte.<\/p>\n

A un alto nivel, los vectores de ataque relevantes incluyen:<\/p>\n

Compromiso en la cadena de suministro<\/h3>\n

Compromiso en el entorno local: La presencia de esta puerta trasera en los sistemas Gigabyte puede llevar a un compromiso en el entorno local de las organizaciones. Los actores malintencionados podr\u00edan aprovechar esta funcionalidad del firmware para acceder y controlar los sistemas de forma remota, lo que podr\u00eda resultar en el robo de datos sensibles, la interrupci\u00f3n de operaciones cr\u00edticas o el acceso no autorizado a recursos internos.<\/p>\n

Persistencia de malware a trav\u00e9s de la funcionalidad del firmware: La persistencia del malware es otro riesgo significativo asociado con esta puerta trasera en los sistemas Gigabyte. Dado que el firmware descarga y ejecuta cargas adicionales de manera segura, existe la posibilidad de que el malware se mantenga activo y oculto en el sistema, incluso despu\u00e9s de realizar medidas de mitigaci\u00f3n iniciales. Esto podr\u00eda permitir a los atacantes mantener el acceso no autorizado y realizar actividades maliciosas de manera continua.<\/p>\n

Es importante destacar que, despu\u00e9s de seguir un cronograma de divulgaci\u00f3n de vulnerabilidades m\u00e1s tradicional, se planea publicar detalles sobre c\u00f3mo funciona esta puerta trasera espec\u00edfica. Esto permitir\u00e1 una comprensi\u00f3n m\u00e1s profunda de los mecanismos utilizados y ayudar\u00e1 a los usuarios y administradores a implementar las mitigaciones sugeridas de manera efectiva.<\/p>\n

Es fundamental que las organizaciones afectadas por esta vulnerabilidad sigan de cerca las actualizaciones y comunicaciones proporcionadas por Gigabyte y las autoridades de seguridad cibern\u00e9tica. Al aplicar las actualizaciones de firmware recomendadas y seguir las mejores pr\u00e1cticas de seguridad, se podr\u00e1n reducir los riesgos asociados con esta puerta trasera y proteger los sistemas de posibles compromisos.<\/p>\n

Resultados Clave<\/h3>\n

Hay dos aspectos importantes de nuestra investigaci\u00f3n:<\/p>\n

La informaci\u00f3n que proporcionas sugiere que Eclypsium, una empresa especializada en seguridad inform\u00e1tica, ha desarrollado una heur\u00edstica automatizada para detectar firmware en los sistemas de la marca Gigabyte que eliminan un binario ejecutable de Windows durante el proceso de inicio del sistema operativo. Este binario ejecutable es responsable de descargar y ejecutar cargas \u00fatiles adicionales de Internet de manera segura.<\/p>\n

La detecci\u00f3n de esta actividad sospechosa es preocupante porque implica que se est\u00e1n encontrando numerosos casos similares en los sistemas de Gigabyte. Ante esta situaci\u00f3n, Eclypsium lleva a cabo an\u00e1lisis constantes a gran escala de la cadena de suministro de problemas de tecnolog\u00eda de la informaci\u00f3n. Esto significa que est\u00e1n investigando activamente y evaluando posibles riesgos y vulnerabilidades relacionadas con los productos y componentes de tecnolog\u00eda de la informaci\u00f3n de Gigabyte.<\/p>\n

Estas acciones de Eclypsium indican una respuesta proactiva para identificar y abordar posibles amenazas en los sistemas de la marca Gigabyte. Es importante que los usuarios est\u00e9n al tanto de estos problemas de seguridad y sigan las recomendaciones y actualizaciones proporcionadas por Gigabyte y Eclypsium para proteger sus sistemas contra posibles ataques o explotaciones. Adem\u00e1s, se recomienda mantenerse informado sobre las \u00faltimas actualizaciones de seguridad y parches proporcionados por los fabricantes de hardware y software.<\/p>\n

Descubierto binario ejecutable de Windows oculto en firmware UEFI, plantea preocupaciones de seguridad<\/h3>\n

En un reciente estudio, se ha descubierto un intrigante hallazgo en el firmware UEFI de un sistema operativo, que podr\u00eda tener serias implicaciones para la seguridad de los usuarios. El archivo en cuesti\u00f3n, identificado como 8ccbee6f7858ac6b92ce23594c9e2563ebcef59414b5ac13ebebde0c715971b2.bin, es un binario nativo ejecutable de Windows que ha sido integrado en el binario de firmware UEFI.<\/p>\n

El archivo ejecutable de Windows se encuentra en un volumen de firmware UEFI que est\u00e1 asociado con el GUID AEB1671D-019C-4B3B-BA-00-35-A2-E6-28-04-36. Lo que hace que este descubrimiento sea a\u00fan m\u00e1s inquietante es que este ejecutable es instalado en el disco como parte del proceso de arranque del sistema, una t\u00e9cnica que ha sido empleada en el pasado por implantes UEFI y puertas traseras.<\/p>\n

Durante la fase del Entorno de ejecuci\u00f3n del controlador (DXE) del proceso de arranque del firmware UEFI, un m\u00f3dulo de firmware conocido como “WpbtDxe.efi” utiliza el mencionado GUID para cargar el archivo ejecutable de Windows directamente en la memoria, y lo instala en una tabla WPBT ACPI. Posteriormente, este archivo ejecutable es cargado y ejecutado por el subsistema del administrador de sesi\u00f3n de Windows (smss.exe) al iniciar el sistema operativo.<\/p>\n

Es importante destacar que el m\u00f3dulo “WpbtDxe.efi” verifica si la funci\u00f3n “Descargar e instalar el centro de aplicaciones” ha sido habilitada en la configuraci\u00f3n de BIOS\/UEFI antes de proceder a instalar el ejecutable en la tabla WPBT ACPI. Aunque esta configuraci\u00f3n parece estar desactivada de forma predeterminada, se ha observado que en el sistema analizado estaba habilitada.<\/p>\n

Esta configuraci\u00f3n en la BIOS\/UEFI y el proceso detallado plantean serias interrogantes acerca de la integridad y seguridad del sistema. La presencia de un implante UEFI o una puerta trasera podr\u00eda permitir la introducci\u00f3n de software malicioso o funcionalidad oculta en el firmware UEFI, lo que potencialmente pondr\u00eda en riesgo la seguridad y privacidad de los usuarios.<\/p>\n

Si sospechas que tu sistema podr\u00eda estar comprometido, es imperativo tomar medidas inmediatas para investigar y abordar esta situaci\u00f3n. Se recomienda escanear minuciosamente el sistema en busca de malware, actualizar el firmware UEFI a la versi\u00f3n m\u00e1s reciente proporcionada por el fabricante y, considerar restablecer la configuraci\u00f3n de BIOS\/UEFI a los valores predeterminados de f\u00e1brica para deshabilitar cualquier funci\u00f3n sospechosa.<\/p>\n

Es importante tener en cuenta que el an\u00e1lisis inicial no puede determinar con certeza si el archivo binario es malicioso o no. Ante cualquier inquietud relacionada con la seguridad, se aconseja buscar la asistencia de un profesional en seguridad inform\u00e1tica o contactar al soporte t\u00e9cnico del fabricante del sistema para obtener una evaluaci\u00f3n m\u00e1s precisa y orientaci\u00f3n adecuada.<\/p>\n

Este descubrimiento subraya la importancia de mantener una constante vigilancia y actualizaci\u00f3n en cuanto a las amenazas de seguridad cibern\u00e9tica. Las implicaciones potenciales de un archivo ejecutable oculto en el firmware UEFI son motivo de preocupaci\u00f3n, y es fundamental que los usuarios tomen las medidas necesarias para salvaguardar sus sistemas y proteger su informaci\u00f3n sensible.<\/p>\n

se ha descubierto una etapa adicional en el firmware UEFI comprometido, que involucra la descarga y ejecuci\u00f3n de ejecutables adicionales en el sistema. Este hallazgo pone de relieve los riesgos significativos asociados con los implantes de firmware UEFI y las amenazas a la seguridad que plantean para los usuarios.<\/p>\n

El ejecutable de Windows eliminado, identificado como “GigabyteUpdateService.exe”, utiliza la API nativa de Windows para escribir el contenido de un ejecutable incrustado en el sistema de archivos en la ubicaci\u00f3n %SystemRoot%\\system32. A continuaci\u00f3n, se establecen entradas en el registro del sistema para ejecutar este archivo como un servicio de Windows. Este mecanismo es similar a los m\u00e9todos utilizados por otros implantes de firmware UEFI notorios, como LoJax, MosaicRegressor, MoonBounce y Vector-EDK, que han sido mencionados anteriormente en investigaciones de seguridad.<\/p>\n

En esta segunda etapa, el ejecutable eliminado se presenta como una aplicaci\u00f3n .NET y tiene la capacidad de descargar y ejecutar cargas \u00fatiles adicionales desde una de las siguientes direcciones, dependiendo de la configuraci\u00f3n espec\u00edfica:<\/p>\n