Pesquisadores de cibersegurança descobriram um comportamento semelhante a um “backdoor” nos sistemas Gigabyte, que permite que o firmware UEFI desses dispositivos instale um executável do Windows e recupere atualizações de maneira insegura.

A anomalia foi inicialmente detectada em abril de 2023 e a Gigabyte já reconheceu e corrigiu o problema.

A maioria dos firmwares da Gigabyte inclui um executável Windows Native Binary embutido no firmware UEFI. Esse executável é gravado no disco e executado como parte do processo de inicialização do Windows, semelhante ao ataque LoJack double agent.

O executável, está incorporado no firmware UEFI e é gravado no disco pelo firmware como parte do processo de inicialização do sistema, sendo posteriormente lançado como um serviço de atualização.

Para piorar a situação, como o código UEFI reside na placa-mãe, o malware injetado no firmware pode persistir mesmo que os drives sejam limpos e o sistema operacional seja reinstalado.

Os usuários são aconselhados a aplicar as últimas atualizações de firmware para minimizar os riscos potenciais.