Des chercheurs ont remarqué un comportement étrange de type porte dérobée sur les systèmes Gigabyte qui met en péril la sécurité des appareils. L'existence de la porte dérobée fait courir le risque d'attaques potentielles de la chaîne d'approvisionnement en raison de la diffusion de systèmes préinfectés dans la nature. Les chercheurs soupçonnent que la porte dérobée peut déployer d'autres charges utiles sur les PC cibles.
Le comportement de la porte dérobée des systèmes Gigabyte risque de provoquer une attaque de la chaîne d'approvisionnement
Selon un récent rapport d'Eclypsium, leurs chercheurs ont détecté un comportement de type porte dérobée dans les systèmes Gigabyte mis à la disposition du public.
Comme expliqué, les méthodes de détection heuristique d'Eclypsium ont mis en évidence un exécutable natif Windows particulier dans les systèmes Gigabyte, déposé pendant le processus de démarrage. L'exécutable utilise des caractéristiques semblables à celles d'une porte dérobée OEM, et il existe en raison de l'implémentation non sécurisée de la capacité du centre d'applications de Gigabyte.
Bien que les chercheurs aient dûment signalé le problème à Gigabyte, ils ont également décidé de le divulguer publiquement, compte tenu des risques inhérents à cette porte dérobée. En effet, la suppression complète de la porte dérobée nécessite des mises à jour du micrologiciel ; simultanément, le fait de laisser des systèmes non corrigés dans la nature sans en informer les utilisateurs peut également exposer les organisations à des attaques de la chaîne d'approvisionnement. Comme indiqué dans l'article,
Bien que notre enquête en cours n'ait pas confirmé l'exploitation par un acteur de menace spécifique, une porte dérobée active et répandue qui est difficile à supprimer pose un risque pour la chaîne d'approvisionnement des organisations qui possèdent des systèmes Gigabyte.
Les chercheurs soupçonnent cette porte dérobée d'être une fonctionnalité légitime des fournisseurs. Néanmoins, les incidents de cybersécurité répétés avec Gigabyte dans le passé font douter les chercheurs de l'existence de cet exécutable.
Mesures d'atténuation recommandées jusqu'à l'arrivée d'un correctif
Alors qu'Eclypsium continue d'enquêter sur la question, les chercheurs ont partagé quelques mesures d'atténuation pour les organisations afin d'éviter les risques potentiels associés à cette porte dérobée.
De même, la sécurisation du BIOS des systèmes à l'aide d'un mot de passe et l'application du filtrage des URL peuvent également aider les équipes informatiques à repousser les attaques potentielles.
Fais-nous part de tes réflexions dans les commentaires.
