BleepingComputer reportó que SecureAuth, una empresa de seguridad informática, encontró vulnerabilidades en el software que permite al usuario modificar ciertos parámetros, como la frecuencia del CPU o el RGB.
El problema es que se pueden explotar estos softwares para acceder a partes de memoria restringidos por el kernel y el CPU, pero que nadie debería poder acceder a ellos. Además, a partir de estas aplicaciones, una vez vulneradas, permitirían ejecutar cualquier código que el atacante quiera.
Es por eso que los servidores aún no tienen RGB (?).
SecureAuth notificó a Asus hace un año, pero la respuesta no fue inmediata. Sin embargo, dos meses y 3 emails después, Asus consultó al emisor por detalles técnicos y luego resolvió una vulnerabilidad de las dos reportadas.
Luego, no respondió más cartas.
El software vulnerable de Asus es:
- ASUS Aura Sync v1.07.22 and previous versions
Gigabyte
¿Ya viste la nueva RTX 2080Ti WaterForce?
Del lado de Gigabyte y luego de muchos emails, la empresa le contestó a SecureAuth que abriera un ticket de soporte, aunque la empresa de informática insistió -correctamente- que preferían enviar esa información crítica por privado. Días más tarde Gigabyte envió un mail diciendo: «Gigabyte es una compañía de hardware y no nos especializamos en software«, algo totalmente ridículo porque ya las mismas BIOS son software (firmware específicamente, porque son las encargadas de hacer un «puente» de comunicación entre nuestros sistemas operativos y el hardware).
SecureAuth no se detuvo allí y siguió brindando información a Gigabyte, pero la empresa de motherboards aclamó que «el reporte es muy ‘vago’ » y solicitó un número telefónico para que, dos meses después, se dijera que «sus productos no son afectados por esas vulnerabilidades».
Y en caso de que el desarrollo de dicho software esté tercerizado, Gigabyte tendría que poner sus cartas en el asunto.
El software de Gigabyte que se ven afectados son:
- GIGABYTE APP Center v1.05.21 y anteriores
- AORUS GRAPHICS ENGINE v1.33 y anteriores
- XTREME GAMING ENGINE v1.25 y anteriores
- OC GURU II v2.08
Así que SecurePath se cansó de los empleados inoperantes y lanzó reportes en su web de manera pública. De ésta forma, o se motiva a las empresas a desarrollar algo nuevo, o cae en manos de un ciberdelincuente o bien la comunidad se anima a hacer ingeniería inversa y desarrolla un controlador RGB open-source, que al fin y al cabo es lo único que necesitás de tu motherboard gama alta (¡Hey! ¡El overclock se hace desde la BIOS!).
Reporte de Asus: https://www.secureauth.com/labs/advisories/asus-drivers-elevation-privilege-vulnerabilities
Reporte de Gigabyte: https://www.secureauth.com/labs/advisories/gigabyte-drivers-elevation-privilege-vulnerabilities
