Gigabyte vient de se faire épingler pour une gestion catastrophique des téléchargements (sans vérification ni validation) de sa fonctionnalité « APP Center Download & Install » dans ses UEFI. Un correctif est disponible depuis hier pour boucher cette brèche géante.
Des chercheurs de l’entreprise de cybersécurité Eclypsium ont découvert ce qu'ils présentent comme une « porte dérobée » dans l'UEFI de plusieurs centaines de cartes mères Gigabyte pour le grand public.
La liste est trop longue pour la détailler ici, mais sachez que cela concerne aussi bien les cartes pour processeurs AMD que pour Intel. On y retrouve des modèles récents, d'autres plus anciens, dans l'entrée et le haut de gamme. Bref, le problème est large.
SEC, PEI, DXE... et c'est le drame ?
Selon les chercheurs en cybersécurité, le problème se situe dans l'UEFI des cartes mères, plus précisément lors de la séquence de démarrage qui comprend trois phases : Boot Security (SEC), Pre EFI Initialization (PEI) et Driver Execution Environment (DXE).
C'est durant la troisième étape que les pilotes se chargent et que le problème intervient chez Gigabyte. L'UEFI intègre un fichier (.bin) qu'il vient déposer dans la mémoire de la machine ; « une technique couramment utilisée par les UEFI et les portes dérobées », précise Eclypsium.
Lors de la phase DXE, « le module "WpbtDxe.efi" vérifie si la fonction "APP Center Download & Install" a été activée dans la configuration de l'UEFI ». Si c'est le cas, il exécute le fameux fichier binaire, qui télécharge et exécute à son tour des « charges utiles supplémentaires de manière non sécurisée », pour reprendre les mots d'Eclypsium.
Des certifications et des validations ? Pourquoi faire ?
Les liens de localisation du téléchargement des données utilisent soit le protocole HTTP (sans couche de chiffrement donc) soit HTTPS, mais sans que les serveurs aient des certificats de validation. Des attaques de type « Machine-in-the-middle (MITM) » sont possibles dans les deux cas.
Vous en voulez encore ? « Le micrologiciel n'implémente aucune vérification de signature numérique cryptographique ni aucune autre validation sur les exécutables ». Bref, selon les analyses des chercheurs, « des acteurs malveillants pourraient utiliser [ces techniques] pour infecter de manière persistante des systèmes ».
Eclypsium opte pour une divulgation rapide
Comme il est recommandé de le faire en pareille situation, les chercheurs ont contacté Gigabyte afin que le fabricant puisse corriger le tir. Ils affirment « travailler » avec ce dernier, mais ne donnent aucun détail supplémentaire, notamment sur le déroulement des événements (depuis combien de temps le fabricant de carte mère est prévenu, quelle était sa réponse, que prévoit-il de faire...).
La suite est par contre moins courante, d'autant que l'enquête des chercheurs en cybersécurité n'a « pas confirmé l'exploitation de cette menace » par un acteur malveillant : « Afin de protéger les organisations contre les acteurs malveillants, nous divulguons également publiquement ces informations et les stratégies défensives dans un délai plus rapide que lors d'une divulgation de vulnérabilité classique ». Un empressement que l'on ne comprend pas vraiment, puisque les correctifs de Gigabyte ont commencé à être mis en ligne hier (nous y reviendrons).
Une backdoor « à l'insu de son plein gré ? »
Reste une question : backdoor ou non ? Pour Eclypsium la réponse est oui : « Cette porte dérobée semble avoir été implémentée intentionnellement et nécessiterait une mise à jour du micrologiciel pour la supprimer des systèmes concernés », affirme-t-il.
Dans le même temps, la société explique que cette fonctionnalité est documentée sur le site du Taïwanais, « elle peut donc être légitime, mais nous ne pouvons pas confirmer ce qui se passe dans Gigabyte ». Toujours selon Eclypsium, APP Center Download & Install « semble être désactivé par défaut, mais il a été activé sur le système » qu'elle a examiné, sans donner d'explication.
On est dans tous les cas assez loin de la définition d'une porte dérobée donnée par la CNIL. Les chercheurs ne s'engagent pas plus que ça sur le sujet, et rappellent que Gigabyte a été victime d'attaques par deux fois en 2021. Dans tous les cas, télécharger des données sans canal sécurisé et les exécuter sans validation préalable est tout sauf une bonne idée.
Deux mesures d'atténuation
« Si vous possédez l'une de ces machines, vous devez vous inquiéter du fait qu'elle récupère quelque chose sur internet et l'exécute sans vous impliquer dans ce processus, et qu'elle ne fait rien de tout ça de façon sécurisée », a expliqué à Wired John Loucaides de Eclypsium.
En attendant une mise à jour du micrologiciel par Gigabyte, Eclypsium conseille de désactiver la fonctionnalité de téléchargement et d'installation de l' « App center » dans le menu de configuration de l'UEFI de Gigabyte et de bloquer avec un pare-feu les trois URL à risque.
Gigabyte confirme la faille, des mises à jour disponibles
Hier soir, Gigabyte a publié un communiqué de presse pour annoncer le renforcement de « la sécurité des systèmes avec les dernières mises à jour des UEFI/BIOS ». Il est question de « détecter et prévenir d'éventuelles activités malveillantes ». Eclypsium n'est pas citée directement, mais on retrouve bien le nom de cette société dans les notes de version des UEFI (par exemple sur celui de la A520 Aorus Elite).
Les deux mesures mises en avant ne laissent de toute façon pas de place au doute : « validation des fichiers téléchargés à partir de serveurs distants » et « vérification des certificats des serveurs distants pour les téléchargements ». Depuis hier, les UEFI à jour sont mis en ligne.
