Les chercheurs en cybersécurité ont découvert un « comportement de type porte dérobée » dans les systèmes Gigabyte, qui, selon eux, permet au micrologiciel UEFI des appareils de supprimer un exécutable Windows et de récupérer les mises à jour dans un format non sécurisé.
Entreprise de sécurité du micrologiciel Eclypsium a dit il a détecté l’anomalie pour la première fois en avril 2023. Gigabyte a depuis reconnu et résolu le problème.
« La plupart des micrologiciels Gigabyte incluent un exécutable binaire natif Windows intégré à l’intérieur du micrologiciel UEFI », a déclaré John Loucaides, vice-président senior de la stratégie chez Eclypsium, à The Hacker News.
« L’exécutable Windows détecté est déposé sur le disque et exécuté dans le cadre du processus de démarrage de Windows, similaire au Attaque d’agent double LoJack. Cet exécutable télécharge et exécute ensuite des fichiers binaires supplémentaires via des méthodes non sécurisées. »
« Seule l’intention de l’auteur peut distinguer ce type de vulnérabilité d’une porte dérobée malveillante », a ajouté Loucaides.
L’exécutable, par Eclypsium, est intégré au micrologiciel UEFI et écrit sur le disque par le micrologiciel dans le cadre du processus de démarrage du système, puis lancé en tant que service de mise à jour.
L’application basée sur .NET, pour sa part, est configurée pour télécharger et exécuter une charge utile à partir des serveurs de mise à jour Gigabyte sur HTTP simple, exposant ainsi le processus aux attaques de l’adversaire au milieu (AitM) via un routeur compromis.
Loucaides a déclaré que le logiciel « semble avoir été conçu comme un application de mise à jour légitime« , notant que le problème a potentiellement un impact » autour Systèmes de 364 gigaoctets avec une estimation approximative de 7 millions d’appareils. »
Les acteurs de la menace étant constamment à la recherche de moyens de ne pas être détectés et de laisser une empreinte d’intrusion minimale, les vulnérabilités du mécanisme de mise à jour privilégiée du micrologiciel pourraient ouvrir la voie à des bootkits UEFI furtifs et les implants qui peut subvertir tous les contrôles de sécurité exécutés dans le plan du système d’exploitation.
Zero Trust + Deception : apprenez à déjouer les attaquants !
Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !
Pour aggraver les choses, étant donné que le code UEFI réside sur la carte mère, les logiciels malveillants injectés dans le micrologiciel peuvent persister même si les lecteurs sont effacés et que le système d’exploitation est réinstallé.
Il est conseillé aux organisations d’appliquer les dernières mises à jour du micrologiciel afin de minimiser les risques potentiels. Il est également conseillé d’inspecter et de désactiver la fonction « APP Center Download & Install » dans la configuration UEFI/BIOS et de définir un mot de passe BIOS pour dissuader les modifications malveillantes.
« Les mises à jour du micrologiciel sont notoirement peu utilisées par les utilisateurs finaux », a déclaré Loucaides. « Par conséquent, il est facile de comprendre qu’une application de mise à jour du micrologiciel peut aider. »
« Cependant, l’ironie d’une application de mise à jour hautement non sécurisée, sauvegardée dans un micrologiciel pour télécharger et exécuter automatiquement une charge utile, n’est pas perdue. »
