Centenas de modelos de placa-mãe Gigabyte enviados com backdoor de firmware

gigabyte motherboard backdoor firmware malware

Pesquisadores da empresa de segurança cibernética Eclypsium descobriram um mecanismo oculto embutido no firmware das placas-mãe Gigabyte, comumente usadas em PCs para jogos e computadores de alto desempenho. Quando um computador com a placa-mãe afetada é reiniciado, esse código oculto aciona um programa atualizador no firmware. Posteriormente, o programa baixa e executa software adicional no computador.

Enquanto a Gigabyte pretendia que esse código oculto servisse como uma ferramenta benigna para atualizações de firmware, o Eclypsium descobriu que ele foi implementado de forma insegura. Isso cria uma vulnerabilidade potencial que pode ser explorada por invasores para instalar malware em vez do software pretendido pela Gigabyte. O fato de o programa atualizador ser iniciado a partir do firmware do computador, fora do sistema operacional, torna difícil para os usuários detectá-lo ou removê-lo.

John Loucaides, líder de estratégia e pesquisa da Eclypsium, destaca a preocupação que os usuários devem ter com esse comportamento, já que suas máquinas recuperam e executam códigos da internet sem saber e sem as devidas medidas de segurança. Ele enfatiza que a ideia de um processo subjacente assumindo o controle da máquina de um usuário sem seu envolvimento é perturbadora para a maioria das pessoas.

Centenas de modelos de placa-mãe afetados

Em sua postagem no blog, a Eclypsium fornece uma lista de modelos de placas-mãe de 271 Gigabytes que podem ser afetados. Loucaides sugere que os usuários possam verificar qual placa-mãe seu computador usa acessando o menu "Iniciar" do Windows e navegando até "Informações do sistema".

A presença do atualizador da Gigabyte por si só pode levantar preocupações para os usuários que estão preocupados em ter o código instalado silenciosamente em suas máquinas pelo fabricante, especialmente considerando o ponto de acesso oculto que ele fornece na cadeia de fornecimento de software. No entanto, a pesquisa do Eclypsium revela que o próprio mecanismo de atualização possui vulnerabilidades significativas. Ele baixa o código para a máquina do usuário sem autenticação adequada, às vezes por meio de conexões HTTP não seguras em vez de HTTPS. Isso permite que a fonte de instalação seja falsificada por meio de um ataque man-in-the-middle, como interceptar a conexão de Internet do usuário por meio de uma rede Wi-Fi não autorizada.

Em alguns casos, o atualizador instalado pelo mecanismo de firmware da Gigabyte é configurado para baixar de um dispositivo de armazenamento conectado à rede local (NAS), um recurso projetado principalmente para empresas administrarem atualizações centralmente sem depender de conexões de internet para cada máquina. No entanto, o Eclypsium adverte que agentes mal-intencionados na mesma rede podem manipular a localização do NAS para instalar sub-repticiamente seu próprio malware.

Impacto potencial do problema

A descoberta do Eclypsium é preocupante devido ao potencial impacto em milhões de dispositivos. Rich Smith, diretor de segurança da startup Crash Override, focada em segurança cibernética, considera a situação reminiscente do escândalo do rootkit da Sony em meados dos anos 2000. Nesse caso, a Sony ocultou o código de gerenciamento de direitos digitais em CDs, que se instalou secretamente nos computadores dos usuários e criou uma vulnerabilidade que os hackers exploraram para ocultar seu malware. Smith traça um paralelo, afirmando que, embora as técnicas usadas por agentes mal-intencionados possam ter sido adotadas pela Gigabyte, ela cruza uma linha semelhante no domínio do firmware.

June 1, 2023
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.