Todas as novas placas Gigabyte têm um backdoor – por meio dele, um invasor pode substituir o BIOS

A empresa de pesquisa Eclysium descobriu uma séria vulnerabilidade no firmware Gigabyte UEFI instalado em centenas de modelos de placas-mãe. O backdoor permite que você instale atualizações do BIOS de servidores da web inseguros. Esse código foi usado pela Gigabyte para instalar atualizações do BIOS pela Internet ou de armazenamento conectado na rede local. Mas a ferramenta está desprotegida e um invasor experiente pode carregar seu próprio código BIOS na placa-mãe do PC.

Fonte da imagem: pexels.com

Foi identificado um problema no executável do utilitário Gigabyte App Center, que pode instalar o novo firmware UEFI BIOS baixando-o de um servidor Gigabyte inseguro e instalando o software sem nenhuma verificação de assinatura digital.

Essa vulnerabilidade de segurança pode permitir que invasores usem um backdoor OEM para baixar códigos maliciosos, como rootkits, diretamente no computador do usuário ou comprometendo o próprio servidor da Gigabyte. Ataques man-in-the-middle também são possíveis, interceptando o processo de inicialização. Eclysium publicou três URLs Gigabyte que os usuários são aconselhados a bloquear para evitar atualizações online.

Centenas de modelos de placas-mãe comerciais e empresariais foram afetados, incluindo algumas das placas-mãe mais recentes para integradores de sistemas de última geração. A lista completa pode ser vista aqui (link PDF). A Eclysium diz que informou a Gigabyte sobre a vulnerabilidade e que a empresa planeja corrigir o problema, presumivelmente com uma atualização de firmware, o que não pode deixar de provocar uma risada nervosa. Informações técnicas detalhadas sobre a descoberta da vulnerabilidade podem ser encontradas no blog Eclysium.