Expertos en seguridad han descubierto dos vulnerabilidades que afectan a algunos firmwares de placas Gigabyte, permitiendo la instalación de malware UEFI. El problema de estos fallos de seguridad es que permiten instalar virus informáticos persistentes en el equipo del usuario. Gigabyte ya está trabajando en una solución.

Ha sido la firma de seguridad Cylance la encargada de descubrir estos problemas. Han confirmado que están trabajando de la mano con Gigabyte, American Megatrends Inc. (AMI) y CERT/CC para encontrar una solución.

Desde Gigabyte también han querido aportar cierta información indicando que es cierto que existen estos problemas de seguridad. Han añadido que están buscando una solución y que es factible que en los próximos días se publique una actualización.

Recursos afectados

  • El problema afecta a los modelos de barebones GB-BSi7H-6500 y GB-BXi7-5775. Las versiones de firmware afectadas son las vF6 y vF2, respectivamente. Desde el fabricante han confirmado que publicarán una nueva versión para el primer modelo. Sin embargo, el segundo ya no se encuentra en producción. Esto quiere decir que el soporte ya ha finalizado, lo que provocará que los usuarios de estos equipos queden expuestos a estas vulnerabilidades.

Detalle de la  vulnerabilidad

  • Catalogados ya como CVE-2017-3197 y CVE-2017-3198 están cerca de ser resueltos por el fabricante. Hasta que llegue este momento aún habrá que esperar unos días. Vamos a detallar brevemente en qué consiste cada uno y las consecuencias que pueden aparecer de cara a la seguridad del usuario.
  • El primero de ellos afecta directamente al sistema de protección contra la escritura del firmware UEFI.
  • El segundo fallo está bastante relacionado con el primero. Desde el fabricante no se percataron de la ausencia de un sistema de firmado de software. Esto permite realizar la carga de cualquier versión modificada, aunque no esté firmada. Relacionado con esta parte, encontramos también la ausencia de un simple checksum que permita comprobar la validez del archivo descargado. Teniendo en cuenta que los archivos se descargan utilizando HTTP en lugar de HTTPS, sería recomendable disponer de un sistema de verificación como este.

Recomendación

  • Estos fallos permitirían a los ciberdelincuentes ejecutar código en el modo SMM e instalar una versión maliciosa del firmware sin ningún tipo de oposición.

Fuente :  Bleeping Computer

Anuncios