La società di sicurezza informatica Eclypsium ha scoperto una backdoor nel firmware delle schede madri di Gigabyte che mette a rischio 271 modelli diversi. Tra questi ci sono schede madri con chipset Intel e AMD degli ultimi anni, inclusi i modelli più recenti come Z790 e X670. La vulnerabilità si trova all'interno del programma di aggiornamento utilizzato da Gigabyte per garantire che il firmware delle schede madri sia sempre aggiornato. Purtroppo, questa implementazione non protetta può fornire una backdoor per i criminali informatici.
Ad ogni riavvio del sistema, un codice all'interno del firmware avvia un programma di aggiornamento che si connette a Internet per controllare e scaricare l'ultimo firmware per la scheda madre. Secondo Eclypsium, l'implementazione di Gigabyte non è sicura e i criminali informatici possono sfruttare questa falla per installare malware nel sistema delle vittime. Il problema principale è che il programma di aggiornamento risiede nel firmware della scheda madre, quindi gli utenti non possono rimuoverlo facilmente come se fosse un normale applicativo.
Gigabyte non è l'unico produttore che utilizza un sistema del genere per facilitare gli aggiornamenti del firmware. Altri produttori di schede madri utilizzano metodi simili, sollevando dubbi sulla sicurezza di tali programmi. Secondo Eclypsium, il programma di aggiornamento di Gigabyte si connette a tre diversi siti per scaricare gli aggiornamenti del firmware.
- http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://software-nas/Swhttp/LiveUpdate4
Più in dettaglio, Eclypsium ha rilevato che non viene utilizzata alcuna verifica della firma digitale crittografica o altri metodi di convalida. Di conseguenza, le connessioni HTTP e HTTPS sono vulnerabili agli attacchi di Machine-in-the-Middle (MITM), con i collegamenti HTTP più suscettibili di quelli HTTPS. Oltre alla connessione a Internet, Eclypsium ha scoperto che il programma di aggiornamento potrebbe scaricare gli aggiornamenti del firmware da un dispositivo NAS nella rete locale.
Eclypsium ha compilato un ampio elenco dei modelli interessati, che comprende fino a 271 schede madri Intel e AMD. Alcuni modelli risalgono ai chipset della serie AMD 400 tuttavia sembra che anche i modelli più recenti ne siano affetti.
Eclypsium consiglia agli utenti di disabilitare la funzione "APP Center Download & Install" all'interno del firmware della scheda madre. Inoltre, gli utenti possono implementare una password nel BIOS per prevenire attività dannose indesiderate. Ultimo ma non meno importante, gli utenti possono bloccare i tre siti legati al sistema di aggiornamento.