El firmware de la porta posterior es troba a milions de plaques base de PC
Els ciberdelinqüents han emprat cada cop més una tàctica tortuosa ocultant programes maliciosos dins del microprogramari UEFI d'un ordinador, el codi fonamental responsable d'arrencar el sistema operatiu. Tanmateix, la situació es torna encara més alarmant quan un fabricant de plaques base no només inclou la seva porta posterior oculta al microprogramari de milions d'ordinadors, sinó que no aconsegueix assegurar aquesta entrada correctament.
Recentment, un equip d'investigadors de ciberseguretat especialitzats en microprogramari ha descobert un mecanisme ocult incrustat al microprogramari de les plaques base fabricades per Gigabyte, una coneguda empresa taiwanesa àmpliament utilitzada en ordinadors per a jocs i ordinadors d'alt rendiment. En reiniciar un ordinador amb la placa base Gigabyte afectada, el codi ocult dins del microprogramari activa discretament un programa d'actualització a l'ordinador. Posteriorment, aquest programa baixa i executa un altre programari sense el coneixement ni el consentiment de l'usuari.
Taula de continguts
Intencions bones, implementació no tant
Tot i que el codi ocult descobert al microprogramari de la placa base Gigabyte probablement estava pensat com una eina inofensiva per a les actualitzacions de microprogramari, els investigadors han identificat defectes de seguretat importants en la seva implementació. Aquestes vulnerabilitats creen un risc potencial que els actors maliciosos explotin el mecanisme, que podrien utilitzar-lo per instal·lar programari maliciós en lloc del programa Gigabyte previst.
El problema és el fet que el programa d'actualització s'inicia des del microprogramari de l'ordinador, funcionant fora de l'àmbit del sistema operatiu de l'usuari. Això fa que sigui increïblement difícil per als usuaris detectar o eliminar el codi problemàtic, agreujant encara més l'impacte potencial de la vulnerabilitat de seguretat.
Més de 270 models implicats
Per veure si la placa base del vostre ordinador conté la porta posterior en qüestió, aneu a "Inici" a Windows i accediu a "Informació del sistema".
Mentre investigaven el codi maliciós basat en firmware, els investigadors van fer un descobriment important sobre el mecanisme de microprogramari ocult de Gigabyte. Aquesta troballa és especialment notable, ja que els pirates informàtics sofisticats utilitzen sovint tàctiques similars. Sorprenentment, les exploracions de detecció automatitzades dels investigadors van marcar el mecanisme d'actualització de Gigabyte per participar en activitats sospitoses que recorden les eines de pirateria patrocinades per l'estat. Concretament, va implicar amagar-se dins del microprogramari i executar silenciosament un programa que descarrega codi d'Internet.
El mecanisme d'actualització de Gigabyte per si sol ha despertat preocupacions entre els usuaris que estan aprensius sobre la possibilitat d'instal·lar codi silenciós mitjançant una eina gairebé imperceptible. A més, hi ha un temor genuí que el mecanisme de Gigabyte pugui ser víctima de l'explotació per part de pirates informàtics que s'infiltren al fabricant de la placa base, aprofitant el seu accés ocult per a un atac nefast a la cadena de subministrament de programari. Tanmateix, la investigació d'Eclypsium va descobrir una revelació encara més alarmant. El mecanisme d'actualització, dissenyat per millorar l'experiència de l'usuari, conté vulnerabilitats evidents que poden ser segrestades de manera maliciosa. Sorprenentment, descarrega codi a la màquina de l'usuari sense passar per una autenticació adequada i, en alguns casos, fins i tot utilitza una connexió HTTP insegura en lloc de l'HTTPS més segur.
Aquest forat de seguretat obert permet als actors malèvols orquestrar atacs d'home-in-the-middle, cosa que els permet enganyar usuaris desprevinguts falsificant la font d'instal·lació. En essència, fins i tot una xarxa Wi-Fi canalla podria convertir-se en un instrument de perill, interceptant la connexió a Internet de l'usuari i comprometent la integritat del seu sistema.
En altres casos, el mecanisme de microprogramari de Gigabyte permet a l'actualitzador obtenir descàrregues d'un dispositiu d'emmagatzematge connectat a la xarxa (NAS) local. Aquesta funció, aparentment destinada a facilitar les actualitzacions dins de les xarxes empresarials, evita un accés extens a Internet per part de totes les màquines. Tanmateix, quan això succeeix, un actor maliciós de la mateixa xarxa pot manipular de manera enganyosa la ubicació del NAS, substituint subrepticament les actualitzacions autoritzades pel seu propi programari maliciós.
Una solució podria funcionar... o no?
Malgrat els esforços potencials de Gigabyte per solucionar el problema del microprogramari, les actualitzacions del microprogramari solen acabar silenciosament a les màquines dels usuaris a causa de la naturalesa complexa del procés i el repte d'alinear el microprogramari amb el maquinari. Aquesta revelació és profundament preocupant, tenint en compte la gran quantitat de dispositius que es podrien veure afectats. Tot i que Gigabyte probablement no tenia intencions malicioses o enganyoses amb la seva eina de microprogramari oculta, les vulnerabilitats de seguretat dins del codi ocult sota el sistema operatiu soscaven la confiança fonamental dels usuaris en les seves màquines.