Expertos en seguridad han descubierto
dos vulnerabilidades que afectan a algunos firmwares de placas Gigabyte,
permitiendo la instalación de malware UEFI. El problema de estos fallos de
seguridad es que permiten instalar virus informáticos persistentes en el equipo
del usuario. Gigabyte ya está trabajando en una solución.
Ha sido la firma de seguridad Cylance
la encargada de descubrir estos problemas. Han confirmado que están trabajando
de la mano con Gigabyte, American Megatrends Inc. (AMI) y CERT/CC para
encontrar una solución.
Desde Gigabyte también han querido
aportar cierta información indicando que es cierto que existen estos problemas
de seguridad. Han añadido que están buscando una solución y que es factible que
en los próximos días se publique una actualización.
Recursos afectados
· El
problema afecta a los modelos de barebones GB-BSi7H-6500 y GB-BXi7-5775. Las
versiones de firmware afectadas son las vF6 y vF2, respectivamente. Desde el
fabricante han confirmado que publicarán una nueva versión para el primer
modelo. Sin embargo, el segundo ya no se encuentra en producción. Esto quiere
decir que el soporte ya ha finalizado, lo que provocará que los usuarios de
estos equipos queden expuestos a estas vulnerabilidades.
Detalle de la vulnerabilidad
· Catalogados
ya como CVE-2017-3197 y CVE-2017-3198 están cerca de ser resueltos por el
fabricante. Hasta que llegue este momento aún habrá que esperar unos días.
Vamos a detallar brevemente en qué consiste cada uno y las consecuencias que
pueden aparecer de cara a la seguridad del usuario.
· El
primero de ellos afecta directamente al sistema de protección contra la
escritura del firmware UEFI.
· El
segundo fallo está bastante relacionado con el primero. Desde el fabricante no
se percataron de la ausencia de un sistema de firmado de software. Esto permite
realizar la carga de cualquier versión modificada, aunque no esté firmada.
Relacionado con esta parte, encontramos también la ausencia de un simple
checksum que permita comprobar la validez del archivo descargado. Teniendo en
cuenta que los archivos se descargan utilizando HTTP en lugar de HTTPS, sería
recomendable disponer de un sistema de verificación como este.
Recomendación
· Estos
fallos permitirían a los ciberdelincuentes ejecutar código en el modo SMM e
instalar una versión maliciosa del firmware sin ningún tipo de oposición.
Fuente : Bleeping Computer