O sistema de actualização integrada nas motherboards da Gigabyte pode ser explorado por atacantes para instalar malware remotamente.
Investigadores de segurança da Eclypsium descobriram motivos para preocupações no sistema de actualização das motherboards da Gigabyte. Embora o mecanismo não tenha intenções maliciosas, pode ser aproveitado por atacantes como porta de entrada que facilita a instalação de malware, e que pode atingir potencialmente milhões de computadores.
A Gigabyte inclui um programa integrado na BIOS UEFI das suas motherboards que é copiado e executado automaticamente quando se arranca o sistema, com o propósito de procurar por actualizações. Esse programa pode descarregar outros ficheiros da internet para proceder à actualização, e é aí que as coisas começam a complicar-se. Um dos endereços que pesquisa nem sequer utiliza uma ligação segura, possibilitando ataques “Man-in-the-Middle” em que alguém troque um firmware legítimo por um firmware com malware; mas mesmo no endereço que utiliza HTTPS, a Gigabyte não faz a validação correcta, permitindo transferências inseguras. O terceiro local onde este actualizador pode pesquisar por actualizações é num NAS local, mas isso também permite que um atacante com acesso à rede possa colocar um firmware com malware nessa localização, e espalhá-lo automaticamente por toda uma empresa.
O caso está a ser comparado ao polémico DRM nos CDs da Sony, que se instalavam automaticamente nos PCs e que continham uma vulnerabilidade que facilitava a instalação de malware. Apesar das boas intenções da Gigabyte, esta técnica de injectar ficheiros no sistema que vão buscar e executar outros ficheiros automaticamente à internet revela-se demasiado arriscada. E a grande questão é que, afectando mais de 270 modelos de motherboards, isso significa que existe um volume considerável de potenciais alvos que tornam esta vertente de ataque bastante atractiva para hackers.
(Ptnik)