Si elles sont exploitées, ces failles peuvent permettre aux attaquants d’obtenir un accès non autorisé à des informations sensibles ou de causer des problèmes en général.
Récemment, des informations ont été publiées Les chercheurs d’Eclypsium ont identifié comportement anormal dans les systèmes avec plaques «Gigabyte».
Les chercheurs mentionnent avoir détecté que le “firmware UEFI” utilisé sur les assiettes effectué le remplacement et le lancement du fichier exécutable pour la plate-forme Windows, tout cela sans en informer l’utilisateur lors du démarrage du système. À son tour, il est mentionné que l’exécutable lancé a été téléchargé à partir du réseau et qu’il a ensuite lancé des exécutables tiers.
Dans une analyse plus détaillée de la situation, il a été démontré que un comportement identique se produit sur des centaines de modèles différents des cartes mères Gigabyte et est associé au fonctionnement de l’application App Center fournie par l’entreprise.
Récemment, la plate-forme Eclypsium a commencé à détecter des comportements de porte dérobée suspects dans les systèmes Gigabyte à l’état sauvage. Ces détections ont été pilotées par des méthodes de détection heuristiques, qui jouent un rôle important dans la détection de menaces nouvelles et jusque-là inconnues dans la chaîne d’approvisionnement, là où des produits tiers légitimes ou des mises à jour technologiques ont été compromis.
En ce qui concerne le processus, il est mentionné quee le fichier exécutable est intégré au firmware UEFI et que cela est stocké sur le disque pendant le processus d’initialisation du système au démarrage. Lors de l’étape de lancement du pilote (DXE, Driver Execution Environment), à l’aide du module de firmware WpbtDxe.efi, ce fichier est chargé en mémoire et écrit dans la table WPBT ACPI, dont le contenu est ensuite chargé et exécuté par l’administrateur. gestionnaire ( smss.exe, sous-système du gestionnaire de session Windows).
Avant le chargement, le module vérifie que la fonctionnalité “APP Center Download and Install” a été activée dans le BIOS/UEFI, car elle est désactivée par défaut. Lors du démarrage côté Windows, le code remplace le fichier exécutable sur le système, qui est enregistré en tant que service système.
Notre analyse de suivi a révélé que le micrologiciel sur les systèmes Gigabyte télécharge et exécute un exécutable Windows natif pendant le processus de démarrage du système, et cet exécutable télécharge et exécute ensuite des charges utiles supplémentaires de manière non sécurisée.
Après le démarrage du service GigabyteUpdateService.exe, la mise à jour est téléchargée à partir des serveurs Gigabyte, mais cela se fait sans vérification appropriée des données téléchargées à l’aide d’une signature numérique et sans utiliser le cryptage du canal de communication.
De plus, il est mentionné que le téléchargement via HTTP sans cryptage était autorisé, mais même lorsqu’il était accessible via HTTPS, le certificat n’était pas vérifié, permettant au fichier d’être remplacé par des attaques MITM et d’organiser l’exécution de son code sur le système de l’utilisateur.
Cette porte dérobée semble implémenter une fonctionnalité intentionnelle et nécessiterait une mise à jour du micrologiciel pour la supprimer complètement des systèmes concernés. Bien que notre enquête en cours n’ait pas confirmé l’exploitation par un pirate informatique spécifique, une porte dérobée active généralisée difficile à éliminer représente un risque pour la chaîne d’approvisionnement des organisations disposant de systèmes Gigabyte.
Pour compliquer la situation, l’élimination complète du problème nécessite une mise à jour du firmware, car la logique d’exécution du code tiers est intégrée au micrologiciel. Comme protection temporaire contre une attaque MITM sur les utilisateurs de la carte Gigabyte, il est recommandé de bloquer les URL ci-dessus dans le pare-feu.
Gigabyte est conscient de l’irrecevabilité de la présence dans le micrologiciel de tels services de mise à jour automatique non sécurisés et intégrés de force dans le système, car compromettre l’infrastructure de l’entreprise ou d’un membre de la chaîne d’approvisionnement (chaîne d’approvisionnement) peut entraîner des attaques contre les utilisateurs et l’organisation, car au moment où le lancement de logiciels malveillants n’est pas contrôlé au niveau du système d’exploitation.
Par conséquent, tout acteur malveillant peut l’utiliser pour infecter de manière persistante des systèmes vulnérables, soit via MITM, soit via une infrastructure compromise.
Enfin, si vous souhaitez en savoir plus, vous pouvez consulter les détails dans le lien suivant.
