Une vulnérabilité critique d'un micrologiciel dans les systèmes Gigabyte expose 7 millions d'appareils
Des chercheurs en cybersécurité
ont découvert un comportement de type porte dérobée dans les systèmes Gigabyte,
qui, selon eux, permet au micrologiciel UEFI des appareils de déposer un
exécutable Windows et de récupérer des mises à jour dans un format non sécurisé.
La société Eclypsium, spécialisée
dans la sécurité des microprogrammes, a déclaré avoir détecté l'anomalie pour
la première fois en avril 2023. Gigabyte a depuis reconnu et résolu le
problème.
L'exécutable, selon Eclypsium,
est intégré dans le micrologiciel UEFI et écrit sur le disque par le
micrologiciel dans le cadre du processus de démarrage du système, puis lancé en
tant que service de mise à jour.
L'application basée sur .NET,
quant à elle, est configurée pour télécharger et exécuter une charge utile à
partir des serveurs de mise à jour de Gigabyte via HTTP, exposant ainsi le
processus à des attaques de type "adversary-in-the-middle" (AitM) par
l'intermédiaire d'un routeur compromis.
M. Loucaides a déclaré que le
problème affecte potentiellement environ 364 systèmes Gigabyte avec une
estimation approximative de 7 millions d'appareils.
Les vulnérabilités du mécanisme
de mise à jour privilégiée du micrologiciel pourraient ouvrir la voie à des
bootkits UEFI furtifs et à des implants capables de subvertir tous les
contrôles de sécurité fonctionnant dans le plan du système d'exploitation.
Pour aggraver les choses, comme
le code UEFI réside sur la carte mère, les logiciels malveillants injectés dans
le micrologiciel peuvent persister même si les disques sont effacés et le
système d'exploitation réinstallé.
Il est
conseillé aux entreprises d'appliquer les dernières mises à jour des
microprogrammes afin de minimiser les risques potentiels. Il est également
conseillé d'inspecter et de désactiver la fonction "APP Center Download
& Install" dans la configuration UEFI/BIOS et de définir un mot de
passe BIOS pour empêcher les changements malveillants.