Advertencia sobre backdoor en cientos de motherboards Gigabyte

Iniciado por AXCESS, Junio 02, 2023, 01:17:10 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Junio 02, 2023, 01:17:10 AM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de la empresa de seguridad de firmware y hardware Eclypsium descubrieron que cientos de modelos de placas base fabricados por el gigante taiwanés de componentes informáticos Gigabyte incluyen una funcionalidad de puerta trasera que podría representar un riesgo significativo para las organizaciones.

Eclypsium descubrió la puerta trasera en función del comportamiento asociado con la funcionalidad, lo que provocó una alerta en la plataforma de la empresa.

Específicamente, los investigadores determinaron que el firmware de muchos sistemas Gigabyte elimina un binario de Windows que se ejecuta cuando se inicia el sistema operativo. Luego, el archivo soltado se descarga y ejecuta otra carga útil obtenida de los servidores de Gigabyte.

La carga útil se descarga a través de una conexión no segura (HTTP o HTTPS mal configurado) y no se verifica la legitimidad del archivo.

No hay evidencia de que la puerta trasera se haya aprovechado con fines maliciosos y la función parece estar relacionada con el Gigabyte App Center, que está documentado en el sitio web de la empresa.

Sin embargo, Eclypsium dijo que es difícil descartar de manera concluyente que se trata de una puerta trasera maliciosa plantada desde dentro de Gigabyte, ya sea por un infiltrado malintencionado o como resultado de que los sistemas de la empresa se vean comprometidos. También es difícil descartar definitivamente que la puerta trasera se plantó en algún lugar de la cadena de suministro.

Incluso si la función es legítima, la firma de ciberseguridad advirtió que podría terminar siendo abusada por los actores de amenazas. No es raro que los piratas informáticos expertos aprovechen estas herramientas en sus ataques.

Los rootkits UEFI se han utilizado en muchos casos para garantizar que el malware de Windows pueda persistir en un sistema comprometido y esta puerta trasera puede ser útil para ese propósito. Además, estos tipos de puertas traseras de firmware pueden ser difíciles de eliminar.

Eclypsium también advirtió que los piratas informáticos podrían aprovechar la conexión insegura entre el sistema y los servidores de Gigabyte para reemplazar la carga mediante un ataque Man-in-the-middle (MitM).

Eclypsium ha publicado una lista de más de 270 modelos de placa base afectados; esto indica que es probable que millones de dispositivos tengan la puerta trasera. La compañía dijo que ha estado trabajando con Gigabyte para solucionar el problema, que probablemente requerirá una actualización de firmware.

Se sabe que los actores de amenazas apuntan a los productos Gigabyte en sus ataques, incluso con sofisticados rootkits UEFI.

Fuente:
SecurityWeek
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario