Une backdoor présente dans GigaBytes

Mauvaise nouvelle pour les utilisateurs de PC utilisant des cartes mères GigaBytes, une backdoor a été découverte permettant à des pirates informatiques de prendre le contrôle à distance de votre PC à distance. On parle de là, d’environ 7 millions de PC accessibles pour les pirates et 271 modèles de cartes mères sont affectées ! Tout cela aurait pu être possible à cause d’une vulnérabilité découverte dans le micrologiciel UEFI des cartes mères.

Explication

Un rootkit BIOS/UEFI est utilisé par les pirates, aussi appelé bootkit, c’est une suite de dangereux programmes malveillants qui injectent du code dans le firmware de la carte et sont très difficiles à supprimer. Même après réinitialisation du PC car il se trouve dans le micrologiciel de la carte mère et non sur le support de stockage du PC. UEFI et BIOS, sont des mini systèmes d’exploitation qui permettent de gérer l’OS principal Windows et le matériel, ils sont composés de différents petits modules qui gèrent l’initialisation des composants du PC avant le réel démarrage du PC.

Vulnérabilité

La vulnérabilité se trouve dans la capacité du mini système d’exploitation de la carte mère, à aller chercher sa mise à jour soit sur le réseau local (appelé “software-nas”), soit sur internet. Le soucis c’est que la connexion n’est pas sécurisée, puisqu’elle va rechercher les mises à jour via le protocole internet HTTP et non HTTPS pour la sécurisation, de plus il ne vérifie pas les données qu’il reçoit pour le faire correspondre à un flux spécialement pour la carte mère. Ce qui permet à un attaquant de faire une attaque par homme du milieu ; même pour la connexion HTTPS, car l’implémentation du certificat est mal implémentée ; ainsi il peut envoyer n’importe quelles données aux systèmes de mises à jour de GigaByte et intégrer son code malveillant comme un nouveau module dans le mini-OS et est donc impossible à supprimer, même après réinitialisation du système d’exploitation.

Solution

La solution est de désactiver la fonction de téléchargement et d’installation de l’APP Center dans l’UEFI et de bloquer les 3 URL dans les pare-feux des entreprises. Vous pouvez aussi rechercher les tentatives de connexion à ces URL en interne, afin de détecter les systèmes susceptibles d’être affectés sur votre réseaux. Une bonne manière d’éviter qu’un pirate ne se connecte à sa backdoor injectée au-préalable, c’est qu’il y ait un mot de passe au niveau du BIOS.

Pour vérifier si vous avez cette backdoor sur votre PC, tapez la commande suivante :

net user GCC_Filedrop

Les images ci-dessous démontrent qu’une backdoor a déjà été injectée avec un nom d’utilisateur et un mot de passe, pour qu’un pirate puisse se connecter à tout moment :


Source : https://www.lemondeinformatique.fr/actualites/lire-la-russie-accuse-les-etats-unis-d-espionner-ses-diplomates-via-iphone-90603.html

Source : https://www.tomshardware.com/news/gigabyte-motherboards-come-with-a-firmware-backdoor

Notre Newsletter

Adhérez au Club Cyber et recevez l'actualité directement dans votre boite mail ! Profitez également de nos offres exclusives d'e-learning et de nos webinaires privés !

spot_img

Dans la même catégorie