Se exploradas, essas falhas podem permitir que invasores obtenham acesso não autorizado a informações confidenciais ou geralmente causem problemas
Recentemente, foram divulgadas informações Pesquisadores do Eclypsium identificaram comportamento anômalo em sistemas com Placas «Gigabyte».
Os pesquisadores mencionam que detectaram que o "firmware UEFI" usado nas placas realizou a substituição e lançamento do arquivo executável para a plataforma Windows, tudo isso sem informar o usuário durante a inicialização do sistema. Por sua vez, é mencionado que o executável lançado foi baixado da rede e que posteriormente lançou executáveis de terceiros.
Em uma análise mais detalhada da situação, foi mostrado que comportamento idêntico ocorre em centenas de modelos diferentes de placas-mãe Gigabyte e está associado à operação do aplicativo App Center fornecido pela empresa.
Recentemente, a plataforma Eclypsium começou a detectar comportamento suspeito de backdoor em sistemas Gigabyte em estado selvagem. Essas detecções foram conduzidas por métodos de detecção heurística, que desempenham um papel importante na detecção de ameaças novas e anteriormente desconhecidas na cadeia de suprimentos, onde produtos legítimos de terceiros ou atualizações de tecnologia foram comprometidos.
Sobre o processo, é mencionado quee o arquivo executável é incorporado ao firmware UEFI e que isso é armazenado em disco durante o processo de inicialização do sistema no momento da inicialização. Na fase de inicialização do driver (DXE, Driver Execution Environment), usando o módulo de firmware WpbtDxe.efi, este arquivo é carregado na memória e gravado na tabela WPBT ACPI, cujo conteúdo é posteriormente carregado e executado pelo administrador. gerenciador (smss.exe, subsistema gerenciador de sessão do Windows).
Antes de carregar, o módulo verifica se o recurso "APP Center Download and Install" foi habilitado no BIOS/UEFI, pois por padrão está desabilitado. Durante a inicialização no lado do Windows, o código substitui o arquivo executável no sistema, que é registrado como um serviço do sistema.
Nossa análise de acompanhamento descobriu que o firmware nos sistemas Gigabyte está baixando e executando um executável nativo do Windows durante o processo de inicialização do sistema, e esse executável baixa e executa cargas úteis adicionais de maneira insegura.
Depois de iniciar o serviço GigabyteUpdateService.exe, a atualização é baixada dos servidores Gigabyte, mas isso é feito sem a devida verificação dos dados baixados usando uma assinatura digital e sem usar a criptografia do canal de comunicação.
Além disso, é mencionado que o download via HTTP sem criptografia era permitido, mas mesmo quando acessado via HTTPS, o certificado não era verificado, permitindo que o arquivo fosse substituído por ataques MITM e estagiasse sua execução de código no sistema do usuário.
Esse backdoor parece estar implementando uma funcionalidade intencional e exigiria uma atualização de firmware para removê-lo completamente dos sistemas afetados. Embora nossa investigação em andamento não tenha confirmado a exploração por um hacker específico, um backdoor ativo generalizado e difícil de eliminar representa um risco na cadeia de suprimentos para organizações com sistemas Gigabyte.
Para complicar a situação, eliminação completa do problema requer uma atualização de firmware, já que a lógica para executar o código de terceiros é incorporada ao firmware. Como proteção temporária contra um ataque MITM em usuários de placas Gigabyte, é recomendável bloquear os URLs acima no firewall.
A Gigabyte está ciente da inadmissibilidade da presença no firmware de tais serviços inseguros de atualização automática e forçosamente integrados ao sistema, pois comprometer a infraestrutura da empresa ou de um membro da cadeia de suprimentos (supply chain) pode levar a ataques aos usuários e à organização, pois no momento, o lançamento do malware não é controlado no nível do sistema operacional.
Como resultado, qualquer agente de ameaça pode usar isso para infectar persistentemente sistemas vulneráveis, seja por meio de MITM ou de uma infraestrutura comprometida.
Por fim, se você tiver interesse em saber mais sobre o assunto, pode consultar os detalhes no link a seguir.