Les chercheurs d’Eclypsium ont identifié ce qui s’apparente à une porte dérobée dans l’UEFI des cartes mères de Gigabyte. L’UEFI est le micrologiciel, alternative modernisée au BIOS, qui gère le démarrage d’un ordinateur. Gigabyte a intégré à son UEFI un utilitaire destiné à la mise à jour du firmware de ses cartes. Mais son implémentation mal sécurisée peut être exploitée pour installer des programmes malveillants alertent les chercheurs d’Eclypsium. Le problème affecte plus de 200 modèles de cartes mères (pour AMD et Intel) du fabricant taiwanais, l’un des grands fournisseurs mondiaux avec plus de 9 millions de cartes livrées l’an dernier.
« Notre analyse de suivi a découvert que le micrologiciel des systèmes Gigabyte supprime et exécute un exécutable natif Windows pendant le processus de démarrage du système, et cet exécutable télécharge et exécute ensuite des charges utiles supplémentaires de manière non sécurisée », détaillent sur leur blog les chercheurs d’Eclypsium.
Le caractère non sécurisé tient au fait que les téléchargements peuvent transiter par des connexions http non chiffrées et que même quand elles le sont en https, la validation du certificat du serveur distant n’est pas implémentée correctement. Dans les deux cas, cela rend possible des attaques de type man-in-the-middle, permettant à des attaquants de rediriger les accès vers un serveur sous leur contrôle pour télécharger du code malveillant.
Le fonctionnement du micrologiciel est comparable selon les chercheurs à celui des rootkits ou implants UEFI, qui, comme ils le rappellent, comptent parmi les formes de malware les plus furtives et puissantes : « S’exécutant avant le système d’exploitation, ils peuvent subvertir complètement le système d’exploitation et les contrôles de sécurité exécutés dans les couches supérieures ».
De plus leur installation sur la carte mère les rend difficiles à supprimer puisque même en cas de remplacement du disque dur ou de réinstallation du système d’exploitation, ce dernier peut être réinfecté au démarrage. Ils sont donc prisés des acteurs de la menace et des failles comme celle de Gigabyte peuvent être détournées pour les mettre en œuvre.
« Le rythme de découverte de nouveaux rootkits UEFI s’est fortement accéléré ces dernières années, comme en témoigne la découverte de LoJax (2018), MosaicRegressor (2020), FinSpy (2021), ESPecter (2021), MoonBounce (2022), CosmicStrand (2022) et BlackLotus (2023) », rappelle d’ailleurs Eclypsium.
Les chercheurs recommandent de désactiver la fonction « APP Center Download & Install » dans la configuration UEFI/BIOS et de bloquer les 3 URLs utilisées pour les mises à jour.
Après ces révélations, Gigabyte a vite réagi en mettant à disposition sur son site de premières mises à jour des Bios de ses cartes mères. Dans un communiqué, la société annonce avoir « mis en place des contrôles de sécurité plus stricts pendant le processus de démarrage du système d’exploitation. » Ils comprennent le contrôle renforcé de l’authenticité des fichiers téléchargés et des certificats des serveurs distants, pour s’assurer qu’ils sont dotés de certificats valides et fiables.