Placas base de 270 GB con arranque no seguro en UEFI BIOS

Una vez más, los expertos en seguridad han detectado una función potencialmente peligrosa (actualización) en el UEFI BIOS porque está implementada de manera escandalosa. Según Eclypsium, 270 GB de placas base para procesadores AMD e Intel están afectados. Eclypsium no escribe si la vulnerabilidad se está explotando activamente actualmente. Sin embargo, los expertos aconsejan a los administradores que eviten que los sistemas afectados accedan a ciertos servidores web de gigabytes.

a Descripción de la entrada de blog de Eclypsium Función de actualización relativamente fácil de atacar. Esto incluye una aplicación .NET que se ejecuta en Windows GigabyteUpdateService.exe, que se incluye en la imagen UEFI BIOS. Este archivo ingresa el firmware en la tabla binaria de la plataforma Windows ACPI (WPBT).

Virustotal.com informó GigabyteUpdateService.exe ejecutable de Windows como Gigabyte B550M Gaming-X V2 BIOS B55GXV23.FB.

Después de instalar el sistema operativo, el subsistema del administrador de sesión de Windows (smss.exe) lee ACPI WPBT y copia el archivo GigabyteUpdateService.exe al disco del sistema a través de la API de Windows %SystemRoot%\system32\.

Además, el sistema crea entradas en el registro para el servicio del sistema de Windows y lo inicia.

Según Eclypsium, el concepto es similar a las funciones que también se utilizan indebidamente en ataques de firmware como LoJax, MosaicRegressor, Vector-EDK y MoonBounce.

La lista de placas base afectadas es de 270 GB según Eclypsium

Vulnerabilidad relacionada con las lágrimas GigabyteUpdateService.exe Luego, bajo Windows, porque el servicio descarga y ejecuta archivos automáticamente desde una de las siguientes tres URL:

  • http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
  • https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
  • https://software-nas/Swhttp/LiveUpdate4

La primera dirección es particularmente peligrosa porque la descarga ni siquiera está protegida por https y, por lo tanto, puede ser mal utilizada, por ejemplo, por ataques man-in-the-middle (MITM).

Según Eclypsium, la función de actualización tampoco verifica la corrección de los archivos descargados.

Eclypsium se refiere al Servicio de actualización de Gigabyte como una «puerta trasera UEFI» y explica otros riesgos. Hace dos años, Gigabyte fue víctima de dos ataques de ransomware que también robaron datos internos. Estos pueden ser mal utilizados por los atacantes para la manipulación.

Hace unos años, se descubrió el malware CosmicStrand en el UEFI BIOS de las placas base Asus y Gigabyte. En 2018, se descubrieron varias vulnerabilidades de seguridad en las utilidades de Windows para las placas base Gigabyte, como el software de overclocking.

en Sitio web de seguridad de Gigabyte Aún no se han encontrado indicios de nuevas vulnerabilidades de seguridad.

Hace unos meses, la empresa taiwanesa de placas base y hardware MSI también se vio afectada por un ataque de ransomware en el que también se robaron datos, incluidas las claves de firma para el código BIOS.

Más de la revista c't

Más de la revista c't

Más de la revista c't

Más de la revista c't


(nos vemos)

a la página de inicio

READ  Canales de WhatsApp: canales públicos disponibles en todo el mundo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *