Une porte dérobée dans le firmware de millions de PC avec une carte mère Gigabyte
La majorité des cartes mères de chez Gigabyte intègrent une porte dérobée logée directement dans le firmware ! Des millions de PC sont concernés par ce problème de sécurité !
Les chercheurs en sécurité d'Eclypsium ont fait une découverte surprenante dans le firmware de 271 modèles de cartes mères Gigabyte : il intègre une porte dérobée ! En fait, ce n'était pas l'intention initiale du fabricant de matériel informatique, qui elle n'était pas si mauvaise... Pour s'assurer que ses cartes mères restaient toujours à jour, Gigabyte a eu l'idée d'intégrer à son firmware un outil de vérification des mises à jour. Sauf qu'il y a surement eu de la négligence avec la sécurité de cet outil ! Résultat, il pourrait servir de porte dérobée aux pirates et permettre l'installation de logiciels malveillants par ce biais dans le cadre d'attaques.
Exécuté à chaque démarrage de la machine, cet utilitaire ne requiert aucune méthode d'authentification ni de validation, et qu'il peut télécharger du code à partir de serveurs en HTTP ou HTTPS. Autrement dit, il est susceptible de télécharger et d'exécuter n'importe quel fichier, y compris un fichier malveillant. Par ailleurs, l'outil peut aussi se connecter à un NAS pour récupérer une mise à jour du firmware.
Au final, pour exploiter une machine via cet utilitaire, les pirates pourraient réaliser une attaque man-in-the-middle pour intercepter et détourner les requêtes à destination des serveurs Gigabyte ou détourner le NAS du réseau local sur lequel est susceptible de se connecter l'outil.
Les modèles de cartes mères Gigabyte affectés !
Pour retrouver la liste 271 modèles de cartes mères Gigabyte affectées par cette vulnérabilité, il suffit de consulter ce fichier PDF mis en ligne par les chercheurs d'Eclypsium. Il y a de nombreux modèles, aussi bien pour des processeurs Intel que AMD.
Comment se protéger ?
Pour désactiver cet outil, cela s'avère très compliqué puisqu'il est logé dans le firmware de la carte mère ! Toutefois, du côté d'Eclypsium, on vous recommande de désactiver la fonction "App Center Download & Install" dans les paramètres du BIOS/UEFI de votre machine. En complément, il est recommandé de positionner un mot de passe pour protéger l'accès au BIOS.
Enfin, au niveau du réseau vous pouvez bloquer les requêtes à destination des serveurs de mises à jour Gigabyte, à savoir :
http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4 https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4 https://software-nas/Swhttp/LiveUpdate4
De son côté, Gigabyte travaille sur la résolution du problème, et sans surprise, elle se présentera sous la forme d'une mise à jour du firmware de la carte mère !
