Gigabyte: Vulnerabilidade crítica de firmware expõe aproximadamente 7 milhões de dispositivos

Gigabyte: Vulnerabilidade crítica de firmware expõe aproximadamente 7 milhões de dispositivos

Pesquisadores de segurança cibernética descobriram “comportamento semelhante a backdoor” nos sistemas Gigabyte, que, segundo eles, permite que o firmware UEFI dos dispositivos solte um executável do Windows e recupere atualizações em um formato não seguro.

A empresa de segurança de firmware Eclypsium disse que detectou a anomalia pela primeira vez em abril de 2023. Desde então, a Gigabyte reconheceu e abordou o problema.

“A maioria dos firmware Gigabyte inclui um executável binário nativo do Windows embutido no firmware UEFI”, disse John Loucaides, vice-presidente sênior de estratégia da Eclypsium, ao The Hacker News.

“O executável do Windows detectado é descartado no disco e executado como parte do processo de inicialização do Windows, semelhante ao ataque de agente duplo LoJack. Esse executável baixa e executa binários adicionais por meio de métodos inseguros.”

“Apenas a intenção do autor pode distinguir esse tipo de vulnerabilidade de um backdoor malicioso”, acrescentou Loucaides.

O executável, por Eclypsium, é incorporado ao firmware UEFI e gravado no disco pelo firmware como parte do processo de inicialização do sistema e, posteriormente, iniciado como um serviço de atualização.

O aplicativo baseado em .NET, por sua vez, é configurado para baixar e executar uma carga útil de servidores de atualização Gigabyte em HTTP simples, expondo assim o processo a ataques de adversário no meio (AitM) por meio de um roteador comprometido.

Loucaides disse que o software “parece ter a intenção de ser um aplicativo de atualização legítimo “, observando que o problema afeta potencialmente “cerca de 364 sistemas Gigabyte com uma estimativa aproximada de 7 milhões de dispositivos”.

Com os agentes de ameaças constantemente procurando maneiras de não serem detectados e deixar uma pegada de intrusão mínima, as vulnerabilidades no mecanismo privilegiado de atualização de firmware podem abrir caminho para bootkits e implantes UEFI furtivos que podem subverter todos os controles de segurança executados no plano do sistema operacional.