Des millions de PC équipés d’une carte mère Gigabyte sont vulnérables à cause d'une backdoor

June 01, 2023
186 views

Gigabyte, le fabricant de composants informatiques, a dissimulé une backdoor dans le firmware de la plupart de ses cartes mères. Grâce à cette porte dérobée, des millions de PC pourraient être ciblés par des pirates.

Vous pensez que votre PC est parfaitement sécurisé ? Si celui-ci embarque une carte mère fabriquée par Gibabyte, vous vous trompez. Les chercheurs en sécurité d’Eclypsium viennent en effet de révéler que les cartes mères du fabricant étaient touchées par une importante vulnérabilité. Pour s’assurer que ses cartes mères utilisent toujours un firmware à jour, Gigabyte a intégré un petit programme se chargeant de vérifier si une mise à jour de celui-ci est disponible. Seul problème, le fabricant n’a visiblement pas pris toutes les mesures nécessaires pour assurer la sécurité des machines de ses utilisateurs.

Un utilitaire de mise à jour en guise de backdoor

Gigabyte pensait sans doute bien faire en intégrant dans ses cartes mères un module servant à maintenir son firmware à jour. Malheureusement, le programme n’a pas été intégré avec toutes les mesures de sécurité de rigueur et pourrait servir de porte dérobée aux pirates. Cet utilitaire, exécuté à chaque redémarrage de Windows, pourrait être détourné par les pirates pour installer des logiciels malveillants sur votre machine. Autre problème, la désactivation de l’outil, qui pourrait suffire à régler le problème, est des plus compliquées puisque l’outil est intégré directement dans le firmware de la carte mère.

D’après les chercheurs d’Eclypsium, l’utilitaire n’utilise aucun système d’authentification ni aucune méthode de validation lorsqu’il télécharge du code sur la machine de l’utilisateur. Par conséquent, les connexions HTTP et HTTPS établies pour vérifier la disponibilité de mises à jour sont vulnérables aux attaques de type Machine in the Middle. Par ailleurs, les chercheurs en sécurité ont également découvert que le module était capable de se connecter à un NAS installé sur le réseau local pour télécharger les mises à jour du firmware des cartes mères, ouvrant ainsi une autre option aux âmes mal intentionnées. Des hackers pourraient en effet usurper le NAS en question pour infecter la machine en y installant des logiciels malveillants.

Des dizaines de modèles de cartes mères concernés

Au total, 271 modèles de cartes mères fabriquées par Gigabyte sont concernés par cette vulnérabilité. Sur son site, Eclypsium a publié la liste de tous les modèles affectés. On y trouve aussi bien des cartes mères AMD que des cartes mères Intel, dont certains modèles assez anciens.

Gigabyte, qui a été mis au courant du problème, est en train de plancher sur un correctif qui sera, ironie du sort, disponible dans un nouveau firmware. En attendant que le correctif soit publié, Eclypsium recommande de désactiver la fonction App Center Download & Install dans le firmware de la carte mère. Vous pouvez également configurer un mot de passe dans le BIOS de votre machine afin d’empêcher toute activité suspecte.

Enfin, vous pouvez également procéder au blocage des serveurs de mise à jour interrogé par le module :

L’outil pingue en effet trois serveurs différents pour vérifier la disponibilité de nouveaux firmwares. Vous pourrez procéder à leur blocage en les ajoutant, par exemple, au fichier hosts de votre PC.

Source : Tom's Hardware

Source: 01net