Исследовательская компания Eclysium обнаружила серьёзную уязвимость в прошивке Gigabyte UEFI, установленной на сотнях моделей материнских плат. Бэкдор позволяет установить обновления BIOS с незащищённых веб-серверов. Этот код Gigabyte использовала для установки обновлений BIOS либо через Интернет, либо из подключённого хранилища в локальной сети. Но инструмент не имеет защиты и осведомлённый злоумышленник может загрузить свой собственный код BIOS в материнскую плату ПК.
Проблема была обнаружена в исполняемом файле утилиты Gigabyte App Center, который может устанавливать новую прошивку UEFI BIOS, загружая её с незащищённого сервера Gigabyte и устанавливая программное обеспечение без какой-либо проверки цифровой подписи.
Эта уязвимость системы безопасности может привести к тому, что злоумышленники будут использовать OEM-бэкдор для загрузки вредоносного кода, такого как руткиты, либо сразу на компьютер пользователя, либо через компрометацию собственного сервера Gigabyte. Также возможны атаки типа «человек посередине», перехватывающие процесс загрузки. Eclysium опубликовала три URL-адреса Gigabyte, которые рекомендуется заблокировать пользователям для предотвращения обновлений через Интернет.
Затронуты сотни моделей розничных и корпоративных материнских плат, в том числе некоторые из новейших системных плат для сборщиков систем высокого класса. В списке плат с бэкдором фигурирует 271 модель, включая продукты на базе чипсетов A520, A620, B360, B450, B460, B550, B650, B660, Z590, Z690, а полный список можно посмотреть здесь (ссылка в формате PDF). Eclysium сообщает, что проинформировала Gigabyte об уязвимости и что компания планирует решить проблему, предположительно, с помощью обновления прошивки, что не может не вызвать нервную усмешку. С подробной технической информацией об обнаружении уязвимости можно ознакомиться в блоге компании Eclysium.