Durante su presentación, los investigadores instalaron una PoC de un ransomware UEFI, evitando que los dispositivos BRIX arrancaran y los investigadores dicen que los mismos defectos pueden ser usados ​​para plantar rootkits persististentes.

Los investigadores dijeron que han identificado estos defectos a comienzo del año, y han trabajado con Gigabyte, American Megatrends Inc. (AMI), y CERT/CC para corregir los errores.

Los dispositivos Gigabyte afectados incluyen GB-BSi7H-6500 (versión de firmware vF6) y GB-BXi7-5775 (versión de firmware vF2). Se espera que Gigabyte lance las actualizaciones en los próximos días aunque la línea GB-BXi7-5775 ya no se está produciendo y ha llegado a EOL (End Of Life), por lo que Gigabyte no lanzará un nuevo firmware para esta serie.

Las dos vulnerabilidades descubiertas por los investigadores de Cylance son CVE-2017-3197 y CVE-2017-3198. El primero es un fallo en la implementación de la protección de escritura en el firmware UEFI. La segunda corresponde a un "olvidó" en la implementación de un sistema que cifre los archivos de firmware de UEFI y en el proceso inseguro de actualización de firmware de Gigabyte, que no comprueba la validez de los archivos descargados usando una suma de comprobación y usa HTTP en lugar de HTTPS. CERT ha publicado un boletín oficial VU # 507496 para ambos errores.

Un atacante puede explotar ambos fallos y ejecutar código en System Management Mode (SMM) y colocar código malicioso en el propio firmware. Los expertos de Cylance detallan un posible ataque de la siguiente manera:

El atacante puede detener la ejecución en modo de usuario a través de una vulnerabilidad en una aplicación (como un documento de Word malicioso con una secuencia de comandos incrustada). A partir de ahí, el atacante eleva sus privilegios explotando un módulo del Kernel como Capcom.sys para ejecutar código en el anillo 0. Un manejador SMI vulnerable permite al atacante ejecutar código en SMM (anillo -2) donde finalmente puede evitar cualquier mecanismo de protección contra escritura e instalar una puerta trasera en el firmware del sistema.

1. User-mode execution (ring 3)
2. Kernel mode execution (ring 0)
3. SMM execution (ring -2)
4. SPI Flash Write

Existen mecanismos de protección contra escritura para evitar que los atacantes modifiquen el firmware, sin embargo, los sistemas afectados no los habilitan.

Las Gigabyte BRIX son computadoras pequeñas, similares a las NUC de Intel, que se pueden usar para reemplazar torres de escritorio voluminosas. Estos dispositivos son muy populares entre las empresas, debido a su precio, tamaño pequeño y portabilidad.

Fuente: Bleeping Computer