I ricercatori di Eclypsium hanno scoperto una backdoor nel firmware UEFI di 271 schede madri prodotte da Gigabyte. La vulnerabilità è associata alla funzionalità di aggiornamento automatico che può essere sfruttata da malintenzionati per scaricare malware da Internet. L’azienda taiwanese ha promesso la distribuzione di un fix in tempi brevi.
Backdoor nascosta nel firmware
I ricercatori di Eclypsium hanno scoperto che il firmware delle schede madri Gigabyte contengono un file che viene eseguito durante l’avvio di Windows. Il file scarica quindi da Internet altri payload. Il file con estensione .bin
viene scritto su disco durante il processo di boot e caricato in memoria dal modulo WpbtDxe.efi
del firmware.
Se è attivata la funzionalità “APP Center Download & Install” nel BIOS/UEFI, nella directory C:\Windows\System32
viene copiato il file GigabyteUpdateService.exe
, eseguito come servizio di Windows, dopo l’aggiunta di una chiave nel registro. Il meccanismo è simile a quello sfruttato da noti rootkit, tra cui LoJax, MosiacRegressor e MoonBounce.
Il suddetto eseguibile può scaricare gli aggiornamenti del firmware da tre possibili URL. Il primo utilizza il protocollo HTTP, quindi è possibile un attacco man-in-the-middle. Il secondo usa il protocollo HTTPS, ma non viene effettuata la validazione del certificato sul server, quindi è ugualmente possibile un attacco man-in-the-middle. Il terzo consente di scaricare l’update da un NAS, ma è possibile individuare la sua posizione e sostituire il firmware con un malware.
I rootkit sono persistenti, in quanto praticamente invisibili alle soluzioni di sicurezza e non vengono eliminati con la formattazione del disco. I ricercatori di Eclypsium consigliano di disattivare la funzionalità nel BIOS/UEFI e installare il nuovo firmware appena verrà rilasciato da Gigabyte.
Aggiornamento (5/06/2023): Gigabyte ha rilasciato i nuovi firmware che risolvono il problema.