Ce n’est pas le bon moment pour être un fabricant de cartes mères. Tout d’abord, Asus risque de brûler votre processeur Ryzen avec des paramètres de tension trop agressifs dans son micrologiciel (même le « correctif » supposé) et maintenant Gigabyte est accusé d’utiliser les mêmes types de techniques de porte dérobée que les « acteurs menaçants » cherchant à pirater les systèmes.
La vulnérabilité a été découverte par la société de sécurité Eclypsium (via Wired) et pointe vers des millions de cartes mères Gigabyte dans la nature avec le même mécanisme de mise à jour invisible du micrologiciel.
« Nous travaillons avec Gigabyte pour résoudre cette implémentation non sécurisée de leur capacité de centre d’applications », lit-on dans son rapport. « Dans l’intérêt de protéger les organisations contre les acteurs malveillants, nous divulguons également publiquement ces informations et stratégies défensives selon un calendrier plus accéléré qu’une divulgation de vulnérabilité typique. »
Eclypsium a publié une liste des cartes mères concernées (avertissement pdf), mais fondamentalement, si vous avez une carte mère Gigabyte moderne, il y a de fortes chances que votre mobo actuel figure sur cette longue liste. Il y aurait 271 modèles différents sur la liste, mais je n’ai pas compté car le fichier pdf s’étend sur trois pages et trois colonnes de caractères assez petits. Autant dire que c’est beaucoup de planches.
Peu importe si vous utilisez un système AMD ou Intel ; la vulnérabilité affecte les deux plates-formes.
Tout ce qu’il faudrait théoriquement, c’est que quelqu’un sur le même réseau que votre machine intercepte le programme de mise à jour non sécurisé de Gigabyte et le pointe vers une URL différente de celle des référentiels de micrologiciels standard. L’un des pires aspects de tout cela est que, sur les trois emplacements de téléchargement possibles, l’un d’eux utilise une adresse HTTP simple, et non l’adresse HTTP beaucoup plus sécurisée.S.
Eclypsium a déclaré qu’il ne pense pas actuellement qu’il y ait eu une exploitation active de la vulnérabilité, mais qu' »une porte dérobée active et répandue qui est difficile à supprimer pose un risque de chaîne d’approvisionnement pour les organisations disposant de systèmes Gigabyte ».
Il énumère les risques et impacts potentiels comme suit :
- Abus d’une porte dérobée OEM par des pirates : Auparavant, les pirates profitaient de logiciels de « porte dérobée OEM » légitimes mais non sécurisés/vulnérables intégrés au micrologiciel des PC. Plus particulièrement, le groupe Sednit (APT28, FancyBear) a exploité Computrace LoJack pour se faire passer pour une fonction antivol légitime pour ordinateur portable.
- Compromis de l’infrastructure de mise à jour OEM et de la chaîne d’approvisionnement : Gigabyte a une documentation sur son site Web pour cette fonctionnalité, elle peut donc être légitime, mais nous ne pouvons pas confirmer ce qui se passe dans Gigabyte. En août 2021, Gigabyte a subi une violation de données critiques par le groupe RansomEXX puis a connu une autre violation en octobre 2021 par le groupe AvosLocker.
- Persistance à l’aide des rootkits et implants UEFI : Les rootkits et les implants UEFI comptent parmi les formes de logiciels malveillants les plus furtives et les plus puissantes qui existent. Ils résident dans le micrologiciel des cartes mères ou dans les partitions système EFI des supports de stockage et s’exécutent avant le système d’exploitation, ce qui leur permet de subvertir complètement le système d’exploitation et les contrôles de sécurité exécutés dans les couches supérieures. De plus, étant donné que la plupart du code UEFI existe sur la carte mère au lieu des disques de stockage, les menaces UEFI persisteront facilement même si les disques sont effacés et que le système d’exploitation est réinstallé. Le rythme de découverte de nouveaux rootkits UEFI s’est fortement accéléré ces dernières années, comme en témoignent la découverte de LoJax (2018), MosaicRegressor (2020), FinSpy (2021) ESPecter (2021), MoonBounce (2022), CosmicStrand (2022) et Lotus noir (2023). La plupart d’entre eux ont été utilisés pour permettre la persistance d’autres logiciels malveillants basés sur le système d’exploitation. Ces images de micrologiciel Gigabyte et l’exécutable Windows abandonné de manière persistante permettent le même scénario d’attaque. Souvent, les implants ci-dessus faisaient ressembler leurs exécutables Windows natifs à des outils de mise à jour légitimes. Dans le cas de MosaicRegressor, la charge utile Windows s’appelait « IntelUpdater.exe »
- Attaques MITM sur les fonctionnalités de mise à jour du micrologiciel et du logiciel : De plus, la nature non sécurisée du processus de mise à jour ouvre la porte aux techniques MITM via un routeur compromis, un appareil compromis sur le même segment de réseau, un empoisonnement DNS ou toute autre manipulation du réseau. Il est également important de noter que la troisième option de connexion, https://software-nas/Swhttp/LiveUpdate4 , n’est pas un nom de domaine complet, mais plutôt un nom de machine qui se trouverait vraisemblablement sur le réseau local. Cela signifie qu’un attaquant sur un sous-réseau local pourrait tromper l’implant pour qu’il se connecte à son système, sans avoir besoin d’usurpation DNS.
- Risque permanent dû à un comportement indésirable dans le micrologiciel officiel : Les portes dérobées cachées dans l’UEFI ou d’autres micrologiciels peuvent être difficiles à supprimer. Même si l’exécutable de la porte dérobée est supprimé, le micrologiciel le supprimera simplement au prochain démarrage du système. Ce défi a déjà été démontré lors de la tentative de suppression des outils Computrace LoJack et Superfish des ordinateurs portables Lenovo.
Le tout se déroule pendant le processus de démarrage de Windows où le programme de mise à jour Gigabyte, sans aucune intervention de l’utilisateur, peut se déclencher et télécharger puis exécuter des charges utiles à partir de différents emplacements sur Internet.
Le fait que l’un de ces emplacements se trouve sur une adresse HTTP non sécurisée le rend facilement compromis par une attaque dite Machine-in-the-middle. Bien qu’Eclypsium note également que même sur les emplacements HTTPS, la validation réelle du certificat à distance (la partie qui devrait théoriquement le rendre plus sûr) n’est pas implémentée correctement, ce qui les rend également vulnérables au même type d’attaque.
C’est un peu un cauchemar pour la sécurité si vous dirigez une organisation sur des systèmes basés sur Gigabyte, bien que sans doute moins préoccupant pour les joueurs solo sur PC. Mais ce n’est toujours pas une bonne sensation de savoir qu’un réseau Wi-Fi non sécurisé peut entraîner le chargement de tout ce qui se trouve sur votre machine sans que vous en sachiez quoi que ce soit.
Le correctif recommandé
La principale chose que vous pouvez faire à ce sujet pour sécuriser votre machine personnelle est de creuser dans le BIOS de votre PC et de désactiver la fonction « APP Center Download & Install ». Vous pouvez également définir un mot de passe BIOS, ce qui vous aidera également à éviter toute modification future que vous n’avez pas choisi d’apporter.
Vous pouvez entrer dans votre BIOS en utilisant le martèlement habituel des touches Suppr ou F2 pendant cette brève fenêtre de démarrage ou, alternativement, redémarrer votre PC à partir de Windows tout en maintenant la touche Maj enfoncée. Cela vous mènera à un écran d’options de démarrage où vous pourrez accéder à votre BIOS UEFI.
Nous avons contacté Gigabyte pour un commentaire et nous mettrons à jour dès que nous entendrons quelque chose en retour.