¿Recuerdan cuando a finales de 2018 les contamos que Gigabyte tenía vulnerabilidades en cuatro de sus utilidades principales? Pues, aún hay usuarios que no actualizaron su software, y los atacantes están aprovechando esto para obtener privilegios y desactivar el anti-virus para luego ejecutar malware libremente.
Antes de explicar como funciona la metodología, les recordamos que estas son las utilidades y versiones vulnerables:
- APP Center v1.05.21 y anteriores
- AORUS GRAPHICS ENGINE v1.33 y anteriores
- XTREME GAMING ENGINE v1.25 y anteriores
- OC GURU II v2.08 y anteriores
Ahora si, procedemos a explicar el ataque: Estos programas utilizan un driver que permite la interacción con el sistema operativo firmado con Verisign, indicando al sistema que puede confiar completamente en ese software, por lo que se le otorga acceso a múltiples partes del sistema operativo que los programas habituales no pueden acceder. Debido a esta vulnerabilidad, los atacantes pueden acceder a este software “confiable” y dar la orden al sistema operativo de desactivar los antivirus. Tras ello, con pase libre, proceden a instalar malware sin nadie que los detecte ni haga nada al respecto, infectando generalmente con ransomware a los usuarios y obligandolos a pagar una cierta suma de dinero para recuperar sus datos.
Si utilizan un software de los mencionados, les recomendamos actualizar a la última versión compatible, y como siempre, el mejor antivirus es el usuario, así que tengan mucho cuidado con lo que descargan.
¿Utilizan una versión vulnerable de este software de Gigabyte?
Fuente: Tom’s Hardware