Los investigadores han notado un extraño comportamiento similar a una puerta trasera con los sistemas Gigabyte que pone en riesgo la seguridad del dispositivo. La existencia de puertas traseras corre el riesgo de posibles ataques a la cadena de suministro debido a la liberación de sistemas preinfectados en la naturaleza. Los investigadores sospechan que la puerta trasera puede implementar otras cargas útiles en las PC de destino.
Riesgos de comportamiento de puerta trasera de Gigabyte Systems Ataque a la cadena de suministro
Según un informe reciente de Eclypsium, sus investigadores detectaron un comportamiento similar al de una puerta trasera en los sistemas Gigabyte disponibles públicamente.
Como se explicó, los métodos de detección heurísticos de Eclypsium destacaron un ejecutable nativo de Windows en particular en los sistemas Gigabyte que se cayó durante el proceso de arranque. El ejecutable utiliza la funcionalidad de puerta trasera OEM y existe debido a la implementación insegura de la capacidad del Gigabyte Application Center.
Aunque los investigadores informaron debidamente sobre el asunto a Gigabyte, también decidieron divulgarlo públicamente, dados los riesgos inherentes asociados con esta puerta trasera. Esto se debe a que la eliminación completa de la puerta trasera requiere actualizaciones de firmware; Simultáneamente, dejar sistemas sin parches en la naturaleza sin notificar a los usuarios también puede exponer a las organizaciones a ataques a la cadena de suministro. Como se indica en la publicación,
Aunque nuestra investigación en curso no ha confirmado la explotación por parte de un actor de amenazas específico, una puerta trasera activa y generalizada que es difícil de eliminar representa un riesgo para la cadena de suministro de las organizaciones con sistemas Gigabyte.
Los investigadores sospechan que esta puerta trasera podría ser una funcionalidad de un proveedor legítimo. Sin embargo, los repetidos incidentes de ciberseguridad con Gigabyte en el pasado hacen que los investigadores duden de la existencia de dicho ejecutable.
Mitigaciones recomendadas hasta que llegue una corrección
Mientras Eclypsium continúa investigando el asunto, los investigadores han compartido algunas mitigaciones para que las organizaciones eviten los riesgos potenciales asociados con esta puerta trasera.
Estos incluyen escanear y actualizar los respectivos sistemas Gigabyte con actualizaciones de firmware y monitorear los sistemas en busca de actividades maliciosas a través de herramientas integradas similares a puertas traseras. Además, los investigadores aconsejan a los administradores de TI que consideren deshabilitar la función «Descargar e instalar del Centro de aplicaciones» en la configuración de UEFI/BIOS en los sistemas Gigabyte.
Del mismo modo, proteger el BIOS de los sistemas con una contraseña y aplicar el filtrado de URL también puede ayudar a los equipos de TI a defenderse de posibles ataques.
Háganos saber sus pensamientos en los comentarios.
