Des chercheurs en cybersécurité ont découvert un comportement de type porte dérobée dans les systèmes Gigabyte, qui, selon eux, permet au micrologiciel UEFI des appareils de déposer un exécutable Windows et de récupérer des mises à jour dans un format non sécurisé.

La société Eclypsium, spécialisée dans la sécurité des microprogrammes, a déclaré avoir détecté l'anomalie pour la première fois en avril 2023. Gigabyte a depuis reconnu et résolu le problème.

L'exécutable, selon Eclypsium, est intégré dans le micrologiciel UEFI et écrit sur le disque par le micrologiciel dans le cadre du processus de démarrage du système, puis lancé en tant que service de mise à jour.

L'application basée sur .NET, quant à elle, est configurée pour télécharger et exécuter une charge utile à partir des serveurs de mise à jour de Gigabyte via HTTP, exposant ainsi le processus à des attaques de type "adversary-in-the-middle" (AitM) par l'intermédiaire d'un routeur compromis.

M. Loucaides a déclaré que le problème affecte potentiellement environ 364 systèmes Gigabyte avec une estimation approximative de 7 millions d'appareils.

Les vulnérabilités du mécanisme de mise à jour privilégiée du micrologiciel pourraient ouvrir la voie à des bootkits UEFI furtifs et à des implants capables de subvertir tous les contrôles de sécurité fonctionnant dans le plan du système d'exploitation.

Pour aggraver les choses, comme le code UEFI réside sur la carte mère, les logiciels malveillants injectés dans le micrologiciel peuvent persister même si les disques sont effacés et le système d'exploitation réinstallé.

Il est conseillé aux entreprises d'appliquer les dernières mises à jour des microprogrammes afin de minimiser les risques potentiels. Il est également conseillé d'inspecter et de désactiver la fonction "APP Center Download & Install" dans la configuration UEFI/BIOS et de définir un mot de passe BIOS pour empêcher les changements malveillants.