Gigabyte vient de se faire épingler pour une gestion catastrophique des téléchargements (sans vérification ni validation) de sa fonctionnalité « APP Center Download & Install » dans ses UEFI. Un correctif est disponible depuis hier pour boucher cette brèche géante.
Des chercheurs de l’entreprise de cybersécurité Eclypsium ont découvert ce qu'ils présentent comme une « porte dérobée » dans l'UEFI de plusieurs centaines de cartes mères Gigabyte pour le grand public.
La liste est trop longue pour la détailler ici, mais sachez que cela concerne aussi bien les cartes pour processeurs AMD que pour Intel. On y retrouve des modèles récents, d'autres plus anciens, dans l'entrée et le haut de gamme. Bref, le problème est large.
SEC, PEI, DXE... et c'est le drame ?
Selon les chercheurs en cybersécurité, le problème se situe dans l'UEFI des cartes mères, plus précisément lors de la séquence de démarrage qui comprend trois phases : Boot Security (SEC), Pre EFI Initialization (PEI) et Driver Execution Environment (DXE).
C'est durant la troisième étape que les pilotes se chargent et que le problème intervient chez Gigabyte. L'UEFI intègre un fichier (.bin) qu'il vient déposer dans la mémoire de la machine ; « une technique couramment utilisée par les UEFI et les portes dérobées », précise Eclypsium.
Lors de la phase DXE, « le module "WpbtDxe.efi" vérifie si la fonction "APP Center Download & Install" a été activée dans la configuration de l'UEFI ». Si c'est le cas, il exécute le fameux fichier binaire, qui télécharge et exécute à son tour des « charges utiles supplémentaires de manière non sécurisée », pour reprendre les mots d'Eclypsium.
Des certifications et des validations ? Pourquoi faire ?
Les liens de localisation du téléchargement des données utilisent soit le protocole HTTP (sans couche de chiffrement donc) soit HTTPS, mais sans que les serveurs aient des certificats de validation. Des attaques de type « Machine-in-the-middle (MITM) » sont possibles dans les deux cas.
Vous en voulez encore ? « Le micrologiciel n'implémente aucune vérification de signature numérique cryptographique ni aucune autre validation sur les exécutables ». Bref, selon les analyses des chercheurs, « des acteurs malveillants pourraient utiliser [ces techniques] pour infecter de manière persistante des systèmes ».
Eclypsium opte pour une divulgation rapide
Comme il est recommandé de le faire en pareille situation, les chercheurs ont contacté Gigabyte afin que le fabricant puisse corriger le tir. Ils affirment « travailler » avec ce dernier, mais ne donnent aucun détail supplémentaire, notamment sur le déroulement des événements (depuis combien de temps le fabricant de carte mère est prévenu, quelle était sa réponse, que prévoit-il de faire...).
La suite est par contre moins courante, d'autant que l'enquête des chercheurs en cybersécurité n'a « pas confirmé l'exploitation de cette menace » par un acteur malveillant : « Afin de protéger les organisations contre les acteurs malveillants, nous divulguons également publiquement ces informations et les stratégies défensives dans un délai plus rapide que lors d'une divulgation de vulnérabilité classique ». Un empressement que l'on ne comprend pas vraiment, puisque les correctifs de Gigabyte ont commencé à être mis en ligne hier (nous y reviendrons).
Une backdoor « à l'insu de son plein gré ? »
Reste une question : backdoor ou non ? Pour Eclypsium la réponse est oui : « Cette porte dérobée semble avoir été implémentée intentionnellement et nécessiterait une mise à jour du micrologiciel pour la supprimer des systèmes concernés », affirme-t-il.
Dans le même temps, la société explique que cette fonctionnalité est documentée sur le site du Taïwanais, « elle peut donc être légitime, mais nous ne pouvons pas confirmer ce qui se passe dans Gigabyte ». Toujours selon Eclypsium, APP Center Download & Install « semble être désactivé par défaut, mais il a été activé sur le système » qu'elle a examiné, sans donner d'explication.
On est dans tous les cas assez loin de la définition d'une porte dérobée donnée par la CNIL. Les chercheurs ne s'engagent pas plus que ça sur le sujet, et rappellent que Gigabyte a été victime d'attaques par deux fois en 2021. Dans tous les cas, télécharger des données sans canal sécurisé et les exécuter sans validation préalable est tout sauf une bonne idée.
Deux mesures d'atténuation
« Si vous possédez l'une de ces machines, vous devez vous inquiéter du fait qu'elle récupère quelque chose sur internet et l'exécute sans vous impliquer dans ce processus, et qu'elle ne fait rien de tout ça de façon sécurisée », a expliqué à Wired John Loucaides de Eclypsium.
En attendant une mise à jour du micrologiciel par Gigabyte, Eclypsium conseille de désactiver la fonctionnalité de téléchargement et d'installation de l' « App center » dans le menu de configuration de l'UEFI de Gigabyte et de bloquer avec un pare-feu les trois URL à risque.
Gigabyte confirme la faille, des mises à jour disponibles
Hier soir, Gigabyte a publié un communiqué de presse pour annoncer le renforcement de « la sécurité des systèmes avec les dernières mises à jour des UEFI/BIOS ». Il est question de « détecter et prévenir d'éventuelles activités malveillantes ». Eclypsium n'est pas citée directement, mais on retrouve bien le nom de cette société dans les notes de version des UEFI (par exemple sur celui de la A520 Aorus Elite).
Les deux mesures mises en avant ne laissent de toute façon pas de place au doute : « validation des fichiers téléchargés à partir de serveurs distants » et « vérification des certificats des serveurs distants pour les téléchargements ». Depuis hier, les UEFI à jour sont mis en ligne.
Commentaires (27)
#1
Télécharger à partir de site en HTTP et sans vérification des signatures des driveurs !
Même Microsoft n’a pas osé !
Microsoft vérifie au moins la signature des drivers.
#2
Ca pose aussi la question des autres fabricants de carte mère: est-ce qu’ils font pareil ou pas?
Risque aussi ou non?
Espérons qu’Eclypsium fasse le même travail de recherche avec les autres, mais rien n’est sûr.
#3
Si je comprends bien, le “APP Center Download & Install” ser a installer depuis l’UEFI les drivers et softs du fabricant sur l’OS ?
En tout cas, c’est pas un petit probleme spécifique a une serie, ça semble un defaut de conception de toute la plateforme UEFI de Gigabyte. C’est enorme.
#4
Et bien sur ma plateforme routeur (sans écran…) est affectée :-/
Je me demande si le APP Center Download & Install est actif par défaut…
#5
Mon moto: ne JAMAIS installer de pilote / utilitaire fourni par le constructeur SAUF à en avoir un besoin impérieux.
De même, désactiver les applis du constructeur sur le tel…
Entre les failles chez HP, Dell, Lenovo, MSI, …
Ces outils ne sont toujours pas pris super au sérieux visiblement, souvent en creusant on trouve des traces que ce n’est pas le constructeur qui le développe et que la boîte qui le développe change régulièrement - et encore, quand il y a des mises à jour.
Là il va falloir passer à des UEFI alternatifs pour se prémunir de ces bloatwares…
#6
Je trouve que le lien à suivre pour corriger la brèche n’est pas clair, il faut cliquer sur le lien du communiqué de Gigabyte et suivre les liens vers son matériel ?
#6.1
Le plus simple est d’aller récupérer le dernier BIOS de ta CM sur la page de cette dernière. Dans la description du dernier BIOS tu devrais voir “Addresses Download Assistant Vulnerabilities Reported by Eclypsium Research” si ta CM est impactée.
#6.2
Merci pour la réponse ! Donc une fois le BIOS à jour, c’est bon ou il faut encore faire des manips ?
#6.3
C’est bon après. Mais tu peux aussi désactiver le paramètre litigieux :)
#7
Ma carte mère fait partie des modèles concernées. Dans l’UEFI, l’option « APP Center Download & Install » était activée par défaut (je n’y avais jamais touchée)
Je ne comprends pas : lorsque cette option est activée, quels sont les trucs que l’UEFI télécharge au démarrage ?
#7.1
Quand cette option est activée, la carte mère pousse Windows à proposer l’installation de l’App Center s’il n’est pas déjà installé, et donc provoquer un téléchargement, qui peut être détourné car il n’y a pas de vérification du destinataire par signature.
#7.2
Tout ça me semble bien nébuleux, mais merci de ta réponse.
Pour ma carte-mère, une mise-à-jour de l’UEFI est disponible. Les notes de version précisent “Addresses download assistant vulnerabilities reported by Eclypsium Research”.
#8
J’ai installé une fois “APP Center Download & Install”. A part l’APP d’overclocking, ca ne sert à rien. Et comme l’OC c’est pas mon truc, bah j’ai tout désinstallé.
Qui utilise cette appli pour faire autre chose que configurer l’OC ?
#9
Cette faille peut elle affecter un OS autre que Windows ?
#10
Question : si on démarre avec l’ordinateur non connecté à Internet, ne le connectant qu’une fois le démarrage terminé, est-ce que cela n’empêche pas l’exploitation de la faille ? Enfin, une nouvelle exploitation éventuelle.
#11
Je ne suis pas sur d’avoir tout à fait compris. Cette fonction si activé télécharge et installe automatiquement un logiciel dans Windows, comme Asus Armoury crate pour Asus donc les autres OS ne sont pas affectés ?
On peut dans ce cas simplement désactivé la fonction dans le bios ou si on n’utilise pas Windows pas d’impact ?
Ou bien ça intervient avant le boot et c’est problématique dans tout les cas si on ne l’a pas désactivé dans le bios ?
#12
Le drame pour moi est de réussir afficher CE PUTAIN DE BIOS.
J’ai presque anéanti la touche DEL et il continue de démarrer Windows.
#12.1
Avec l’UEFI, il y a un délai d’attente réglable, au bout duquel l’UEFI lance les systèmes d’exploitation.
Si ce délai d’attente est réglé à une valeur très basse (par exemple : réglé à 0 seconde), les systèmes d’exploitation se lancent très rapidement … et tu n’as pas le temps d’appuyer sur DEL pour afficher la panneau de réglages de l’UEFI.
Je t’invite à lire ces 2 articles :
#13
Bon j’ai réussi à démarrer le BIOS via windows, j’ai bien le boules contre Gigabyte.
Et à nouveau les boules quand l’utilitaire QFlash me dit que mon fichier de BIOS est tout moisi car le
checksum, la somme de contrôle est incorrecte.Tentative avec le BIOS précédent…
#14
Le délais d’attente est bon vu qu’il m’affiche le menu (DEL pour le setup, FIn pour Q-BIOS et F12 pour le démarrage), pendant quelques secondes. Mais Microsoft en a décidé autrement
Pour accéder au BIOS, il faut quelques RESET de force du démarrage de windows. En suite il propose d’accéder aux outils windows ou de démarrer puis après plusieurs clicks, on accède enfin à l’option redémarrer dans le BIOS.
C’est le boot UEFI de windows qui impose ce comportement.
#15
Je ne sais pas si ça peut t’aider :
https://learn.microsoft.com/fr-fr/windows-hardware/manufacture/desktop/boot-to-uefi-mode-or-legacy-bios-mode?view=windows-11
Pour démarrer en UEFI ou BIOS :
[…]
#16
Bonne fête en retard aux cartes-mères!
#17
Il me semble que MSI fait la même chose avec leur dernières cartes mpres Z790 -> au premier boot de Windows, il lance automatiquement leur logiciel de mise à jour Command Center avec les drivers “compatible”.
D’ailleurs leurs drivers Ethernet n’était pas reconnu nativement pas windows (interface 2.5Gigabit Ethernet ? ). du coup, cela pouvait être galère pour aller chercher celui-ci si le WiFi n’était pas actif ou que les drivers USB n’étaient pas reconnus. Un retour en arrière de 15 ans ou presque avec l’injection de drivers dans Windows XP !
C’est vrai que cela peut être une jolie porte d’entrée dérobée si mal utilisée…
#18
mon chipset étant trop vieux n’est étonnamment pas dans la liste (même si j’ai de l’UEFI)
j’imagine que cette feature n’existait pas encore
#19
Mais à vous lire ça ne marche “que” sous windows .
J’avais compris que c’était le BIOS UEFI qui lancait une appli de download UEFI dès le boot, avant le SE.
Si c’est “que” sous windows je suis tranquille, ma carte mère n’a jamais booté sous cet OS :-)
#20
Comme d’autres ici, je n’ai pas vraiment compris la cinématique.
C’est l’UEFI qui télécharge le payload?
Avant le boot de l’OS?
A chaque démarrage du PC?
Une fois téléchargé, il est résident et tourne en parallèle de l’OS?
Il tourne sur quel processeur? quel RAM?
Il interfère en temps réel en sous-marin avec un OS qui serait lancé? en touchant à sa mémoire sans le faire planter?
Ou bien l’UEFI file une URL pour que windows télécharge et install un truc en mode non interactif?
Mais dans ce cas, qui ne vérifie pas le certificat, c’est l’uefi ou windows?
Ca me fait penser au truc de Dell “computrace”, qui, il me semble, montait le filesystem pour aller y mettre sa backdoor avant que l’OS ne se lance pour bypass les antivirus.
#21
Même question que
Concernant les mises-à-jour d’un UEFI, j’ai eu une agréable surprise avec une carte mère Asrock (le modèle H310CM-HDV) : l’UEFI propose une option pour se mettre à jour en ligne.
Comment ça marche ? Je vais dans l’UEFI, je clique, et l’UEFI se connecte au réseau, puis il trouve, il télécharge et il installe sa nouvelle version. Au démarrage suivant, l’UEFI est à jour.
Je trouve l’option vraiment confortable : pas besoin de fouiller le site du constructeur pour chercher le bon fichier, pas besoin de clé USB, pas besoin d’avoir installé un système d’exploitation sur l’ordinateur en question