Domenico Ascione
Un a falla nella programmazione di milioni di schede madri potrebbe fornire un semplicissimo accesso agli hacker
Nascondere programmi maligni nel firmware UEFI di un computer, il codice profondo che indica a un PC come caricare il sistema operativo, è diventato un trucco insidioso nel kit di strumenti degli hacker.
Ma quando un produttore di schede madri installa la propria backdoor nascosta nel firmware di milioni di computer – e non mette nemmeno un lucchetto adeguato a questa entrata nascosta – sta praticamente facendo il lavoro degli hacker al loro posto.
Una scoperta preoccupante
I ricercatori della società di cybersicurezza Eclypsium, specializzata in firmware, hanno rivelato oggi di aver scoperto un meccanismo nascosto nel firmware delle schede madri vendute dal produttore taiwanese Gigabyte, i cui componenti sono comunemente utilizzati nei PC da gioco e in altri computer ad alte prestazioni.
Eclypsium ha scoperto che ogni volta che un computer con la scheda madre Gigabyte interessata si riavvia, il codice all’interno del firmware della scheda madre avvia in modo invisibile un programma di aggiornamento che viene eseguito sul computer e a sua volta scarica ed esegue un altro software.
Sebbene Eclypsium affermi che il codice nascosto sia inteso come uno strumento innocuo per mantenere aggiornato il firmware della scheda madre, i ricercatori hanno scoperto che è implementato in modo insicuro, consentendo potenzialmente di dirottare il meccanismo e di utilizzarlo per installare malware invece del programma previsto da Gigabyte. Inoltre, poiché il programma di aggiornamento viene attivato dal firmware del computer, al di fuori del sistema operativo, è difficile per gli utenti rimuoverlo o addirittura scoprirlo.
Cosa si rischia?
Se si possiede una di queste macchine, ci si deve preoccupare del fatto che in pratica sta prendendo qualcosa da Internet e lo sta eseguendo senza che voi siate coinvolti, e non ha fatto nulla di tutto ciò in modo sicuro. Il concetto di andare sotto l’utente finale e prendere il controllo della sua macchina non piace alla maggior parte delle persone Afferma John Loucaides, responsabile della strategia e della ricerca di Eclypsium
Nel suo post sul blog dedicato alla ricerca, Eclypsium elenca 271 modelli di schede madri Gigabyte che, secondo i ricercatori, sono state colpite. Loucaides aggiunge che gli utenti che vogliono vedere quale scheda madre utilizza il loro computer possono controllare andando su “Start” in Windows e poi su “Informazioni di sistema”.
Eclypsium afferma di aver trovato il meccanismo del firmware nascosto di Gigabyte mentre setacciava i computer dei clienti alla ricerca di codice maligno basato sul firmware, uno strumento sempre più comune utilizzato da hacker sofisticati.
I ricercatori di Eclypsium sono rimasti sorpresi nel vedere che le loro scansioni di rilevamento automatico hanno segnalato il meccanismo di aggiornamento di Gigabyte per aver messo in atto alcuni degli stessi comportamenti loschi di quegli strumenti di hacking sponsorizzati dallo Stato: nascondersi nel firmware e installare silenziosamente un programma che scarica codice da Internet.
Eclypsium ha anche scoperto che il meccanismo di aggiornamento è stato implementato con evidenti vulnerabilità che potrebbero permetterne il dirottamento: scarica il codice sul computer dell’utente senza autenticarlo correttamente, a volte anche attraverso una connessione HTTP non protetta, anziché HTTPS. In questo modo, la fonte dell’installazione potrebbe essere falsificata da un attacco man-in-the-middle condotto da chiunque sia in grado di intercettare la connessione Internet dell’utente, ad esempio una rete Wi-Fi non autorizzata.
In altri casi, il programma di aggiornamento installato dal meccanismo nel firmware di Gigabyte è configurato per essere scaricato da un dispositivo di archiviazione locale collegato alla rete (NAS), una caratteristica che sembra essere progettata per le reti aziendali per amministrare gli aggiornamenti senza che tutte le loro macchine si colleghino a Internet. Eclypsium avverte però che in questi casi, un attore malintenzionato sulla stessa rete potrebbe falsificare la posizione del NAS per installare in modo invisibile il proprio malware.
La risposta della casa madre
Eclypsium afferma di aver collaborato con Gigabyte per divulgare le sue scoperte al produttore di schede madri e che Gigabyte ha dichiarato di voler risolvere i problemi.
Anche se Gigabyte dovesse risolvere il problema del firmware – dopotutto, il problema deriva da uno strumento di Gigabyte destinato ad automatizzare gli aggiornamenti del firmware – Loucaides di Eclypsium sottolinea che gli aggiornamenti del firmware spesso si interrompono silenziosamente sulle macchine degli utenti, in molti casi a causa della loro complessità e della difficoltà di far coincidere firmware e hardware.