Centinaia di modelli di schede madri Gigabyte forniti con firmware backdoor
I ricercatori della società di sicurezza informatica Eclypsium hanno scoperto un meccanismo nascosto incorporato nel firmware delle schede madri Gigabyte, comunemente utilizzate nei PC da gioco e nei computer ad alte prestazioni. Quando un computer con la scheda madre interessata si riavvia, questo codice nascosto attiva un programma di aggiornamento all'interno del firmware. Successivamente, il programma scarica ed esegue software aggiuntivo sul computer.
Mentre Gigabyte intendeva che questo codice nascosto fungesse da strumento innocuo per gli aggiornamenti del firmware, Eclypsium ha scoperto che era implementato in modo non sicuro. Ciò crea una potenziale vulnerabilità che potrebbe essere sfruttata dagli aggressori per installare malware invece del software previsto da Gigabyte. Il fatto che il programma di aggiornamento venga avviato dal firmware del computer, al di fuori del sistema operativo, ne rende difficile il rilevamento o la rimozione da parte degli utenti.
John Loucaides, leader della strategia e della ricerca presso Eclypsium, sottolinea la preoccupazione che gli utenti dovrebbero avere riguardo a questo comportamento, poiché le loro macchine recuperano ed eseguono inconsapevolmente codice da Internet senza adeguate misure di sicurezza. Sottolinea che l'idea di un processo sottostante che prende il controllo della macchina di un utente senza il suo coinvolgimento è inquietante per la maggior parte delle persone.
Centinaia di modelli di schede madri interessati
Nel loro post sul blog, Eclypsium fornisce un elenco di modelli di schede madri da 271 Gigabyte che si ritiene siano interessati. Loucaides suggerisce agli utenti di verificare quale scheda madre utilizza il proprio computer accedendo al menu "Start" in Windows e navigando su "Informazioni di sistema".
La presenza del solo programma di aggiornamento di Gigabyte potrebbe sollevare preoccupazioni per gli utenti che temono che il codice venga installato silenziosamente sulle loro macchine dal produttore, soprattutto considerando il punto di accesso nascosto che fornisce nella catena di fornitura del software. Tuttavia, la ricerca di Eclypsium rivela che il meccanismo di aggiornamento stesso presenta vulnerabilità significative. Scarica il codice sulla macchina dell'utente senza un'autenticazione adeguata, a volte tramite connessioni HTTP non protette anziché HTTPS. Ciò consente lo spoofing dell'origine dell'installazione tramite un attacco man-in-the-middle, come l'intercettazione della connessione Internet dell'utente tramite una rete Wi-Fi canaglia.
In alcuni casi, il programma di aggiornamento installato dal meccanismo del firmware di Gigabyte è configurato per il download da un dispositivo NAS (Network-Attached Storage) locale, una funzionalità progettata principalmente per le aziende per amministrare centralmente gli aggiornamenti senza fare affidamento sulle connessioni Internet per ogni macchina. Tuttavia, Eclypsium avverte che attori malintenzionati sulla stessa rete potrebbero manipolare la posizione del NAS per installare surrettiziamente il proprio malware.
Potenziale impatto del problema
La scoperta di Eclypsium è preoccupante a causa del potenziale impatto su milioni di dispositivi. Rich Smith, Chief Security Officer della startup di sicurezza informatica incentrata sulla catena di approvvigionamento Crash Override, trova la situazione che ricorda lo scandalo dei rootkit di Sony della metà degli anni 2000. In quel caso, Sony ha nascosto il codice di gestione dei diritti digitali su CD, che si è installato di nascosto sui computer degli utenti e ha creato una vulnerabilità che gli hacker hanno sfruttato per nascondere il loro malware. Smith traccia un parallelo, affermando che mentre le tecniche utilizzate da attori malintenzionati potrebbero essere state adottate da Gigabyte, attraversa una linea simile nel dominio del firmware.
