Un trou dans le réacteur RGB Fusion de GIGABYTE ?

Beaucoup de RGB dans les titres de ce matin, mais que voulez-vous, c'est dans l'air du temps ! Ici en l'occurrence ça parlera toutefois de sécurité, l'autre grand sujet de cette ère de l'informatique. On ne reviendra pas sur les failles matérielles découvertes dans les processeurs, un sujet déjà largement couvert. Par contre, avec l'augmentation des fonctionnalités du matériel d'une part et aussi de la quantité de LEDs RGB par cm² de l'autre se sont également multipliés un peu à tout-va les softwares maison pour la gestion et les pilotes indispensables au bon fonctionnement.

Quelques exemples récents de ratés en la matière : les découvertes de failles dans les pilotes d'une quarantaine de constructeurs majeurs, les failles dans un logiciel et des SSD Intel, l'histoire d'une vulnérabilité majeure chez Dell, les mésaventures de GeFORCE Experience chez NVIDIA, un backdoor chez ASUS utilisée à des fins malveillantes ou encore les déboires de Logitech avec Logitech Options. Voilà, les exemples ne manquent pas. Évidemment, toutes ces vulnérabilités ne posent pas le même niveau de danger et pour beaucoup les risques restent limités par le simple fait que leur exploitation nécessite relativement souvent un accès physique et administrateur - ce qui n'excuse en rien leur existence. Qu'en est-il aujourd'hui avec la faille supposée découverte dans le software RGB Fusion de GIGABYTE ?

Ce serait un peu par hasard que le spécialiste en tests d'intrusion - Graham Sutherland - aurait découvert la chose, alors qu'il souhaitait absolument éteindre les loupiottes de son GPU apparemment censé être compatible avec RGB Fusion. Sans succès, Graham aurait ensuite décidé de fouiller un peu et de rétro-ingéniérer le logiciel de GIGABYTE. Surprise, c'est là qu'il aurait découvert que RGB Fusion dispose d'une faille bien gênante qui accorderait aux comptes non-administrateurs un accès sans restriction aux composants internes de la carte mère...

Plus spécifiquement, ce serait lorsque RGB fusion analyse les commandes pour les LED WS2812B que le pilote exposerait les GPIO (ports d'entrée/sortie) du PCH de la plateforme et donnerait même un accès en lecture/écriture à tous les ports SMBus !  En sus, le pilote exposerait également une interface pour flasher le micrologiciel du MCU, créant ainsi un espace de stockage caché. Un processus et fonctionnement constaté quelque soit la nature du compte, administrateur ou non. Le danger viendrait principalement du fait que l'exécutable du pilote se trouve dans un emplacement inscriptible et serait de ce fait assez facile à remplacer, d'où la possibilité de s'en servir pour y placer du code malveillant dans le but de s’octroyer davantage de privilèges ou même d’accéder au noyau.

Heureusement, Graham estime que la faille est inexploitable sans accès physique à la machine et si cette dernière est encore vierge de tout code malicieux. Ouf, sauvé ?

All of these issues require an attacker to already be running malicious code on your machine, albeit only at a low privilege level (non-admin). So this won't magically make you insecure against an attacker on the network or internet."

Néanmoins, cela soulève aussi l'hypothèse (un peu amusante tout de même, il faut l'avouer) qu'un individu avec un accès physique à la machine ciblée pourrait parfaitement y installer RGB Fusion et s'en servir comme intermédiaire malgré-lui pour ses attaques. Étonnamment, le chercheur n'aurait pas encore envoyé de rapport de bug à GIGABYTE. En attendant, contacté à ce sujet par Tom's Hardware, ce dernier aurait tout simplement dit qu'il va se pencher sur le sujet et voir si un patch correctif est effectivement bien nécessaire. Gageons que ce n'est pas la dernière fois que l'on entendra parler d'un software constructeur mal optimisé, conçu ou sécurisé. L'un des aspects du problème, c'est aussi que chaque constructeur bidouille sa propre solution propriétaire, dont la qualité peut donc varier énormément, autant en matière de conception que de suivi. Vivement peut-être un standard ouvert pour les gouverner tous ? (Source : Tom's, Twitter)

Reste aussi toujours l'option (ô combien douloureuse) de se passer complètement de toutes ces fonctions gadgets...