Pesquisadores da empresa de firmware e segurança de hardware Eclypsium descobriram que centenas de modelos de placas-mãe fabricados pela gigante taiwanesa de componentes de computador Gigabyte incluem funcionalidade backdoor que pode representar um risco significativo para as organizações.
A backdoor foi descoberta com base no comportamento associado à funcionalidade, o que desencadeou um alerta na plataforma da empresa. Especificamente, os pesquisadores determinaram que o firmware em muitos sistemas Gigabyte descarta um binário do Windows que é executado quando o sistema operacional inicializa. O arquivo descartado baixa e executa outra carga obtida dos servidores da Gigabyte. A carga útil é baixada por meio de uma conexão insegura — HTTP ou HTTPS configurado incorretamente — e a legitimidade do arquivo não é verificada.
Veja isso
MSI ‘quebra’ acidentalmente o Secure Boot de 290 placas-mãe
Intel investiga vazamento de chaves privadas do Boot Guard
Não há evidências de que a backdoor tenha sido usado para fins maliciosos e o recurso parece relacionado ao Gigabyte App Center, que está documentado no site da empresa. No entanto, a Eclypsium disse que é difícil descartar conclusivamente que é uma backdoor malicioso implantado dentro da Gigabyte, seja por um insider malicioso ou como resultado do comprometimento dos sistemas da empresa. Também é difícil descartar definitivamente que a porta dos fundos foi plantada em algum lugar da cadeia de suprimentos.
Mesmo que o recurso seja legítimo, a empresa de segurança cibernética alertou que pode acabar sendo explorado por operadores de ameaças. Não é incomum que hackers qualificados aproveitem essas ferramentas em seus ataques.A Eclypsium publicou uma lista de mais de 270 modelos de placas-mãe afetados , o que, segundo ela, indica que milhões de dispositivos provavelmente têm a backdoor. A empresa disse que está trabalhando com a Gigabyte para resolver o problema, que provavelmente exigirá uma atualização de firmware.