La société de cybersécurité Eclypsium a découvert une porte dérobée dans le firmware de Gigabyte qui met en danger 271 cartes mères différentes. La vulnérabilité réside dans un petit programme de mise à jour que Gigabyte utilise pour s’assurer que le micrologiciel de la carte mère est toujours à jour. Apparemment, il le fait via une implémentation non sécurisée.
Avez-vous déjà remarqué qu’après une installation propre de Windows, un programme apparaît vous proposant de télécharger le dernier pilote ou firmware pour vous ? Malheureusement, ce petit morceau de code pourrait fournir une porte dérobée aux criminels.
À chaque redémarrage du système, un morceau de code à l’intérieur du micrologiciel lance un programme de mise à jour qui se connecte à Internet pour vérifier et télécharger le dernier micrologiciel pour la carte mère. Eclypsium a évalué que la mise en œuvre de Gigabyte n’est pas sûre et que les cybercriminels peuvent utiliser l’exploit pour installer des logiciels malveillants sur le système de la victime. Le gros problème est que le programme de mise à jour réside dans le micrologiciel de la carte mère, de sorte que les consommateurs ne peuvent pas le supprimer facilement.
Gigabyte n’est pas le seul fournisseur à utiliser ce type de programme pour faciliter les mises à jour du firmware. D’autres fabricants de cartes mères utilisent une méthode similaire, soulevant la question de savoir si l’un d’entre eux est sûr. Par exemple, le logiciel Armory Crate d’Asus fonctionne de la même manière que l’App Center de Gigabyte. Selon les découvertes d’Eclypsium, le programme de mise à jour de Gigabyte envoie un ping à trois sites différents pour les mises à jour du firmware :
- http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://software-nas/Swhttp/LiveUpdate4
Eclypsium a évalué que le programme de mise à jour télécharge le code sur le système de l’utilisateur sans authentification appropriée. Il n’utilise aucune vérification de signature numérique cryptographique ni aucune autre méthode de validation. Par conséquent, les connexions HTTP et HTTPS sont vulnérables aux attaques Machine-in-the-middle (MITM), les premières étant plus sensibles que les secondes. Outre la connexion à Internet, Eclypsium a également découvert que le programme de mise à jour pouvait télécharger des mises à jour du micrologiciel à partir d’un périphérique NAS au sein du réseau local. Un acteur malveillant peut également usurper le NAS et infecter la victime avec un logiciel espion.
Le programme de mise à jour est un outil standard parmi les cartes mères Gigabyte. Eclypsium a dressé une longue liste des modèles concernés. Il y a jusqu’à 271 cartes mères sur la liste, composées à la fois de cartes mères Intel et AMD. Certains modèles remontent aux chipsets AMD de la série 400. Ainsi, même les dernières cartes mères Intel série 700 ou AMD série 600 ne sont pas sûres.
Eclypsium a déjà partagé ses découvertes avec Gigabyte, et le fournisseur de cartes mères travaille sur une solution pour remédier à la vulnérabilité. Ironiquement, la solution arrivera probablement dans un firmware mis à jour. Pendant ce temps, les propriétaires de cartes mères Gigabyte peuvent prendre certaines mesures pour protéger leurs systèmes.
Eclypsium recommande aux utilisateurs de désactiver la fonction « APP Center Download & Install » dans le firmware de la carte mère. L’option est ce qui lance le programme de mise à jour. Pour faire bonne mesure, les utilisateurs peuvent implémenter un mot de passe au niveau du BIOS pour empêcher les activités malveillantes indésirables. Enfin, les utilisateurs peuvent bloquer les trois sites que le programme de mise à jour contacte.