GIGABYTE a publié des mises à jour du firmware pour corriger les vulnérabilités de sécurité de plus de 270 cartes mères qui pourraient être exploitées pour installer des logiciels malveillants.
Les mises à jour du micrologiciel ont été publiées jeudi dernier en réponse à un rapport de la société de sécurité matérielle Eclypsium, qui a trouvé des failles dans une fonctionnalité GIGABYTE légitime utilisée pour installer une application de mise à jour automatique du logiciel dans Windows.
Windows inclut une fonctionnalité appelée Windows Platform Binary Table (WPBT) qui permet aux développeurs de micrologiciels d’extraire automatiquement un exécutable de l’image du micrologiciel et de l’exécuter dans le système d’exploitation.
« Le WPBT permet aux fournisseurs et aux OEM d’exécuter un programme .exe dans la couche UEFI. Chaque fois que Windows démarre, il regarde l’UEFI et exécute le .exe. Il est utilisé pour exécuter des programmes qui ne sont pas inclus avec le support Windows, » explique Microsoft.
Les cartes mères GIGABYTE utilisent la fonction WPBT pour installer automatiquement une application de mise à jour automatique sur ‘%SystemRoot%\system32\GigabyteUpdateService.exe’ sur les nouvelles installations de Windows.
Bien qu’elle soit activée par défaut, cette fonctionnalité peut être désactivée dans les paramètres du BIOS sous l’onglet Périphériques > option de configuration APP Center Download & Install Configuration.
Cependant, Eclypsium a découvert diverses failles de sécurité dans ce processus que les attaquants pourraient potentiellement exploiter pour diffuser des logiciels malveillants lors d’attaques de type « man-in-the-middle » (MiTM).
Eclypsium a constaté que lorsque le micrologiciel dépose et exécute GIGABYTEUpdateService.exe, l’exécutable se connecte à l’une des trois URL GIGABYTE pour télécharger et installer la dernière version du logiciel de mise à jour automatique.
Le problème est que deux des URL utilisées pour télécharger le logiciel utilisent des connexions HTTP non sécurisées, qui peuvent être détournées lors d’attaques MiTM pour installer des logiciels malveillants à la place.
De plus, les chercheurs ont découvert que GIGABYTE n’effectuait aucune vérification de signature pour les fichiers téléchargés, ce qui pourrait empêcher l’installation de fichiers malveillants ou falsifiés.
En réponse, GIGABYTE a maintenant publié des mises à jour du firmware pour les cartes mères des séries Intel 400/500/600/700 et AMD 400/500/600 afin de résoudre ces problèmes.
« Pour renforcer la sécurité du système, GIGABYTE a mis en place des contrôles de sécurité plus stricts lors du processus de démarrage du système d’exploitation. Ces mesures sont conçues pour détecter et empêcher toute activité malveillante éventuelle, offrant aux utilisateurs une protection renforcée :
- Vérification de la signature : GIGABYTE a renforcé le processus de validation des fichiers téléchargés à partir de serveurs distants. Cette vérification renforcée garantit l’intégrité et la légitimité du contenu, contrecarrant toute tentative d’attaquants d’insérer du code malveillant.
- Limitations d’accès aux privilèges : GIGABYTE a activé la vérification cryptographique standard des certificats de serveur distant. Cela garantit que les fichiers sont exclusivement téléchargés à partir de serveurs avec des certificats valides et fiables, assurant une couche de protection supplémentaire. » – GIGABYTE.
Bien que les risques liés à ces vulnérabilités soient probablement faibles, tous les utilisateurs de cartes mères GIGABYTE sont invités à installer les dernières mises à jour du micrologiciel pour bénéficier des correctifs de sécurité.
De plus, si vous souhaitez supprimer l’application de mise à jour automatique GIGABYTE, vous devez d’abord désactiver le paramètre ‘APP Center Download & Install Configuration’ dans le BIOS, puis désinstaller le logiciel sous Windows.