Miljoenen Gigabyte-moederborden met backdoors? Wat is het daadwerkelijke resultaat? • Dossier

Miljoenen Gigabyte-moederborden met backdoors?  Wat is het daadwerkelijke resultaat?  • Dossier

Instructies Je hebt misschien wat krantenkoppen gezien over een achterdeur in de toeleveringsketen naar miljoenen gigabyte-moederborden. Hier is het dieptepunt.

Wat is het probleem?

Gigabyte levert een breed scala aan moederbordmodellen die worden meegeleverd Applicatiecentrum Het hulpprogramma, dat de firmware, stuurprogramma’s en systeemgerelateerde software up-to-date moet houden. Het controleert op updates en biedt aan om ze op te halen en te installeren, zodat mensen dit niet handmatig hoeven te doen of in hun BIOS-instellingen moeten graven. Het probleem is dat de manier waarop Gigabyte dit heeft geïmplementeerd, mensen het risico op infectie kan geven.

Hoe is dat?

Gigabyte UEFI-firmware wordt geleverd met hun moederborden en voert een aantal acties uit terwijl het systeem opstart. Op Windows-computers houdt dit in dat de Windows-software die in de firmware is opgenomen, stilletjes naar schijf wordt geschreven GigabyteUpdateService.exe in het besturingssysteem system32 map en voer het uit. ex. zichzelf als een Windows-service en haalt vervolgens een ander uitvoerbaar bestand op van internet en voert het uit. Dit tweede programma haalt op van een van deze locaties:

  • hxxp://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
  • hxxps://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
  • hxxps://software-nas/Swhttp/LiveUpdate4

De gebruikte locatie hangt af van hoe deze is geconfigureerd. Alles bij elkaar lijkt dit deel uit te maken van het mechanisme van het App Center voor het detecteren en aanbieden van systeemupdates voor installatie. Er wordt aangenomen dat de opgehaalde code wordt uitgevoerd met verhoogde bevoegdheden.

Hoe infecteert dit mijn Windows-computer?

Welnu, als iemand in staat is om die downloads te onderscheppen en de opgehaalde code te vervangen door malware, zal hij de uitvoering van de code op de Windows-box van het slachtoffer tot stand brengen en zal hij deze kunnen controleren. Zo’n aanvaller zou DNS-spoofs kunnen gebruiken om verzoeken te doen mb.download.gigabyte.com Ze worden omgeleid naar een kwaadaardige server die malware verspreidt in plaats van het legitieme uitvoerbare Gigabyte-bestand.

READ  Nintendo Switch eShop lekt de volgende held van Overwatch 2, Mauga, vóór BlizzCon

Een van de URL’s gebruikt HTTP, wat gemakkelijker te onderscheppen is voor bevoorrechte aanvallers, terwijl de andere twee HTTPS gebruiken, zij het zonder het certificaat van de externe server te valideren, dus nogmaals, een man-in-the-middle (MITM)-aanval zou mogelijk zijn. Iemand moet heel ver gaan om dit voor elkaar te krijgen. Het is niet onmogelijk, maar er zijn wellicht makkelijkere manieren om iemand te besmetten.

Een aanvaller zorgt er waarschijnlijk voor dat het meegebrachte programma voldoet aan de vereisten voor het ondertekenen van Windows-code. Anders dan dat, voert de firmware geen controles uit om te zien of het een legitiem binair bestand aan het downloaden is. Over het algemeen is dit niet het veiligste proces en kan het leiden tot het uitvoeren van kwaadaardige code en de verspreiding van spyware op het apparaat van een nietsvermoedende vreemde.

Oh. Wie heeft deze zwakte gevonden?

De onderzoekers van Eclypsium, die de technologie hebben afgesplitst Overleg over dit onderwerp hier eerder deze week. Voor alle duidelijkheid, ze hebben geen echte malware of onverlaten gevonden die dit misbruikten, alleen de onverwachte val van de exe. op het bestandssysteem van de UEFI-firmware en probeert deze te verbinden met de buitenwereld.

Ze vonden geen bewijs dat de kwetsbaarheid actief wordt misbruikt, alleen dat de manier waarop de firmware van Gigabyte werkt onveilig is en het leven van potentiële hackers een beetje gemakkelijker maakt.

Ze concludeerden: “Een bedreigingsactor kan dit gebruiken om voortdurend kwetsbare systemen te infecteren via MITM of gecompromitteerde infrastructuur.”

Wat kan ik doen om mezelf te beschermen?

Voorlopig kunt u ervoor zorgen dat de download- en installatiefunctie in het App Center is uitgeschakeld, waardoor wordt voorkomen dat de firmware de updateservice uitvoert en dus voorkomt dat de code van internet wordt opgehaald. Eclypsium is van mening dat deze functie standaard moet worden uitgeschakeld, maar ze zeiden dat ze deze ingeschakeld vonden op de apparaten die ze moesten overhandigen.

READ  NVIDIA LHRv3 (Light Hash Rate v3) Anticryptografisch algoritme voor RTX 3050/3080 12GB ontgrendeld 90%

Ook als u uitgaande verbindingen naar de bovenstaande URL’s kunt blokkeren, is dit voor nu misschien een goed idee. Houd er echter rekening mee dat dit het updateproces van het App Center kan verstoren.

Hoe weet ik of ik getroffen ben?

Eclypsium heeft een lijst met 271 getroffen moederborden hier [PDF].

Wat moet Gigabyte zeggen?

loggen Gigabyte vroeg om commentaar; We laten het je weten als we iets horen. Eclypsium zegt samen te werken met de fabrikant om de kwetsbaarheid op te lossen.

Moet ik iemand nemen die denkt dat het een goed idee zou zijn om UEFI-firmware toe te staan ​​automatisch en geruisloos Windows-services te installeren in de system32-map van mijn kerstkaartenlijst?

Ja.

Moet ik in paniek raken?

Nee. ®

You May Also Like

About the Author: Ebert Brink

'Reader. Furious humble travel enthusiast. Extreme food scientist. Writer. Communicator.'

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *