Certains articles de veille peuvent faire l'objet de traduction automatique.
Les chercheurs ont remarqué un comportement étrange semblable à une porte dérobée avec les systèmes Gigabyte qui met en danger la sécurité des appareils. L’existence de portes dérobées risque d’entraîner des attaques potentielles de la chaîne d’approvisionnement en raison de la libération de systèmes pré-infectés dans la nature. Les chercheurs soupçonnent que la porte dérobée peut déployer d’autres charges utiles sur les PC cibles.
Le comportement des portes dérobées de Gigabyte Systems risque d’attaquer la chaîne d’approvisionnement
Selon un récent rapport d’Eclypsium, leurs chercheurs ont détecté un comportement de type porte dérobée dans les systèmes Gigabyte accessibles au public.
Comme expliqué, les méthodes de détection heuristique d’Eclypsium ont mis en évidence un exécutable natif Windows particulier dans les systèmes Gigabyte abandonné pendant le processus de démarrage. L’exécutable utilise des fonctionnalités de type porte dérobée OEM, et il existe en raison de la mise en œuvre non sécurisée de la capacité du centre d’applications Gigabyte.
Bien que les chercheurs aient dûment signalé l’affaire à Gigabyte, ils ont également décidé de divulguer publiquement l’affaire, compte tenu des risques inhérents associés à cette porte dérobée. En effet, la suppression complète de la porte dérobée nécessite des mises à jour du micrologiciel ; Simultanément, laisser des systèmes non corrigés dans la nature sans en informer les utilisateurs peut également exposer les organisations à des attaques de la chaîne d’approvisionnement. Comme indiqué dans le message,
Bien que notre enquête en cours n’ait pas confirmé l’exploitation par un acteur de menace spécifique, une porte dérobée active et répandue qui est difficile à supprimer pose un risque pour la chaîne d’approvisionnement des organisations disposant de systèmes Gigabyte.
Les chercheurs soupçonnent que cette porte dérobée pourrait être une fonctionnalité légitime des fournisseurs. Néanmoins, les incidents de cybersécurité répétés avec Gigabyte dans le passé font douter les chercheurs de l’existence dudit exécutable.
Atténuations recommandées jusqu’à l’arrivée d’un correctif
Alors qu’Eclypsium continue d’enquêter sur la question, les chercheurs ont partagé certaines mesures d’atténuation pour les organisations afin d’éviter les risques potentiels associés à cette porte dérobée.
Celles-ci incluent l’analyse et la mise à jour des systèmes Gigabyte respectifs avec des mises à jour du micrologiciel et la surveillance des systèmes pour les activités malveillantes via les outils intégrés de type porte dérobée. En outre, les chercheurs conseillent aux administrateurs informatiques d’envisager de désactiver la fonctionnalité « APP Center Download & Install » dans la configuration UEFI/BIOS sur les systèmes Gigabyte.
De même, la sécurisation du BIOS des systèmes avec un mot de passe et l’application d’un filtrage d’URL peuvent également aider les équipes informatiques à repousser les attaques potentielles.
Faites-nous part de vos réflexions dans les commentaires.
Poster un commentaire