Un système de correctifs très négligé dans les cartes mères Gigabyte laisse des millions d’utilisateurs vulnérables à d’éventuels abus. Un correctif est disponible.
Les cartes mères de Gigabyte contiennent une sorte de porte dérobée. Des chercheurs en sécurité d’Eclypsium l’ont constaté. Cette porte ouvre la voie à des attaques dangereuses à partir de la chaîne d’approvisionnement. Selon les chercheurs, le bogue en question ne peut être distingué d’une porte dérobée placée intentionnellement qu’en examinant l’intention. Dans ce cas, Gigabyte ne semble pas avoir agi délibérément.
Micrologiciel vulnérable
Le problème se situe au niveau du micrologiciel UEFI des cartes mères. Ce code est exécuté avant le démarrage de Windows et devrait donc être très sûr. Toutefois, dans le cas des cartes mères Gigabyte, le code écrit un fichier exécutable sur le disque dur du système. Ce fichier est ensuite chargé et exécuté par Windows.
Le fichier sert à rechercher des mises à jour à partir de Windows et, pour ce faire, se connecte aux serveurs de mise à jour de Gigabyte de manière non sécurisée via HTTP. Cette méthode de connexion est vulnérable aux pirates.
Abus facile
Tout le système de mise à jour peut facilement être détourné par des attaquants. Bien qu’aucun abus n’ait été identifié pour le moment, Gigabyte fournit un vecteur pour les attaques dites de la chaîne d’approvisionnement. Les pirates peuvent exploiter le processus de mise à jour vulnérable et le micrologiciel de Gigabyte garantit que le fichier responsable est rechargé à chaque fois.
Le plan d’action est douteux. En injectant du code dans le micrologiciel d’un système, qui est ensuite exécuté pendant le processus de démarrage, l’outil de mise à jour de Gigabyte se comporte comme un « rootkit ». Le fait que le code exécuté comporte des vulnérabilités supplémentaires est bien sûr la cerise sur le gâteau.
Généralisé
Eclypsium note que 364 modèles différents de matériel Gigabyte sont vulnérables, le bogue affectant environ sept millions d’utilisateurs dans le monde. L’entreprise fournit une liste des modèles concernés.
Gigabyte, quant à lui, a – un peu ironiquement – fourni une mise à jour pour son processus de mise à jour très négligé. La difficulté réside dans le fait qu’il ne suffit pas de mettre à jour le programme de mise à jour en question, car il est toujours rétabli dans sa forme originale par le biais du micrologiciel UEFI. Il faut donc que les utilisateurs concernés mettent eux-mêmes à jour le micrologiciel.