Gigabyte : des millions de cartes mères PC ont été vendues avec une porte dérobée dans le micrologiciel,un mécanisme qui met en danger la sécurité des données des utilisateurs
Un fabricant de cartes mères a installé une porte dérobée dans le micrologiciel de millions d'ordinateurs sans même avoir un verrou approprié sur cette entrée. Ce mécanisme dans le firmware des cartes mères Gigabyte pourrait permettre à des pirates d’installer des logiciels malveillants sur des millions d’ordinateurs.
Le firmware est le code qui contrôle le fonctionnement des composants matériels d’un ordinateur, comme la carte mère, le disque dur ou le processeur. Il est stocké dans une mémoire non volatile, c’est-à-dire qui conserve les données même lorsque l’ordinateur est éteint. Le firmware est essentiel pour démarrer l’ordinateur et charger le système d’exploitation, comme Windows ou Linux. Il peut aussi offrir des fonctionnalités supplémentaires, comme la mise à jour automatique ou la protection contre le vol.
Mercredi, des chercheurs de la société de cybersécurité spécialisée dans les micrologiciels Eclypsium ont révélé qu'ils avaient découvert un mécanisme caché dans le micrologiciel des cartes mères vendues par le fabricant taïwanais Gigabyte, dont les composants sont couramment utilisés dans les PC de jeu et autres ordinateurs hautes performances. Chaque fois qu'un ordinateur avec la carte mère Gigabyte concernée redémarre, Eclypsium a découvert que le code du micrologiciel de la carte mère lance de manière invisible un programme de mise à jour qui s'exécute sur l'ordinateur et télécharge et exécute à son tour un autre logiciel.
Alors qu'Eclypsium affirme que le code caché est censé être un outil inoffensif pour maintenir à jour le micrologiciel de la carte mère, les chercheurs ont découvert qu'il était implémenté de manière non sécurisée, permettant potentiellement au mécanisme d'être détourné et utilisé pour installer des logiciels malveillants au lieu du programme prévu par Gigabyte. Et comme le programme de mise à jour est déclenché à partir du micrologiciel de l'ordinateur, en dehors de son système d'exploitation, il est difficile pour les utilisateurs de le supprimer ou même de le découvrir.
« Si vous avez l'une de ces machines, vous devez vous inquiéter du fait qu'elle récupère quelque chose sur Internet et l'exécute sans que vous soyez impliqué, et qu'elle n'ait rien fait de tout cela en toute sécurité », déclare John Loucaides, qui dirige la stratégie et la recherche à Eclypsium. « Le concept de passer outre l'utilisateur final et de prendre en charge sa machine ne convient pas à la plupart des gens ».
Comment Eclypsium a découvert ce mécanisme et ses failles
Dans un billet de blog donnant des détails sur les résultats de la recherche, Eclypsium répertorie 271 modèles de cartes mères Gigabyte qui, selon les chercheurs, sont concernés. Loucaides ajoute que les utilisateurs qui souhaitent voir quelle carte mère leur ordinateur utilise peuvent vérifier en allant sur "Démarrer" dans Windows, puis sur "Informations système".
Eclypsium dit avoir trouvé le mécanisme de micrologiciel caché de Gigabyte tandis qu'il parcourait les ordinateurs des clients à la recherche de code malveillant basé sur le micrologiciel, un vecteur de plus en plus courant utilisé par des pirates. En 2018, par exemple, des hackers travaillant pour le compte de l'agence de renseignement militaire russe GRU ont été surpris en train de se servir de LoJack sur le micrologiciel des machines de victimes pour pouvoir les espionner. Des hackers parrainés par l'État chinois ont été repérés deux ans plus tard en train de réutiliser un logiciel espion basé sur un micrologiciel créé par la société de piratage informatique Hacking Team pour cibler les ordinateurs des diplomates et du personnel des ONG en Afrique, en Asie et en Europe.
Les chercheurs d'Eclypsium ont été surpris de voir leurs analyses de détection automatisées signaler que le mécanisme de mise à jour de Gigabyte effectue certains des mêmes comportements louches que ces outils de piratage parrainés par l'État (notamment en se cachant dans le micrologiciel et en installant silencieusement un programme qui télécharge du code depuis Internet).
Envoyé par Eclypsium
Récemment, la plate-forme Eclypsium a commencé à détecter un comportement suspecté de type porte dérobée dans les systèmes Gigabyte dans la nature. Ces détections ont été pilotées par des méthodes de détection heuristiques, qui jouent un rôle important dans la détection de nouvelles menaces de chaîne d'approvisionnement jusque-là inconnues, où des produits ou des mises à jour technologiques tiers légitimes ont été compromis. Notre analyse de suivi a découvert que le micrologiciel des systèmes Gigabyte supprime et exécute un exécutable natif Windows pendant le processus de démarrage du système, et cet exécutable télécharge et exécute ensuite des charges utiles supplémentaires de manière non sécurisée. Il utilise les mêmes techniques que d'autres fonctionnalités de type porte dérobée OEM comme la porte dérobée Computrace (alias LoJack DoubleAgent) abusée par les acteurs malveillants et même les implants de micrologiciels tels que Sednit LoJax, MosaicRegressor, Vector-EDK. Une analyse ultérieure a montré que ce même code est présent dans des centaines de modèles de PC Gigabyte. Nous travaillons avec Gigabyte pour résoudre cette implémentation non sécurisée de leur capacité de centre d'applications.
Dans l'intérêt de protéger les organisations contre les acteurs malveillants, nous divulguons également publiquement ces informations et stratégies défensives dans un délai plus rapide qu'une divulgation de vulnérabilité typique. Cette porte dérobée semble implémenter une fonctionnalité intentionnelle et nécessiterait une mise à jour du micrologiciel pour la supprimer complètement des systèmes concernés. Bien que notre enquête en cours n'ait pas confirmé l'exploitation par un acteur malveillant spécifique, une porte dérobée active et répandue qui est difficile à supprimer pose un risque pour la chaîne d'approvisionnement des organisations disposant de systèmes Gigabyte. À un niveau élevé, les vecteurs d'attaque pertinents comprennent*:
Dans l'intérêt de protéger les organisations contre les acteurs malveillants, nous divulguons également publiquement ces informations et stratégies défensives dans un délai plus rapide qu'une divulgation de vulnérabilité typique. Cette porte dérobée semble implémenter une fonctionnalité intentionnelle et nécessiterait une mise à jour du micrologiciel pour la supprimer complètement des systèmes concernés. Bien que notre enquête en cours n'ait pas confirmé l'exploitation par un acteur malveillant spécifique, une porte dérobée active et répandue qui est difficile à supprimer pose un risque pour la chaîne d'approvisionnement des organisations disposant de systèmes Gigabyte. À un niveau élevé, les vecteurs d'attaque pertinents comprennent*:
- Compromission dans la chaîne d'approvisionnement
- Compromission dans l'environnement local
- Persistance des logiciels malveillants via la fonctionnalité de ce micrologiciel dans les systèmes
Quels sont les risques pour les utilisateurs ?
Les risques sont multiples. Tout d’abord, le programme d’actualisation télécharge le code sans vérification d’authenticité, ce qui signifie qu’il n’y a pas de garantie que le logiciel provienne bien de Gigabyte et non d’une source malveillante. De plus, dans certains cas, le téléchargement se fait via une connexion HTTP, qui n’est pas chiffrée, ce qui rend possibles des attaques de type “man-in-the-middle” sur des réseaux Wi-Fi non sécurisés. Un pirate pourrait ainsi se faire passer pour le serveur de Gigabyte et envoyer un logiciel malveillant au programme d’actualisation.
Ensuite, le programme d’actualisation s’exécute depuis...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
