Az Eclypsium firmware- és hardverbiztonsági cég kutatói felfedezték, hogy a tajvani Gigabyte által gyártott több száz alaplapmodell olyan backdoorokat tartalmaz, amelyek jelentős kockázatot jelenthetnek a szervezetekre nézve.
A kutatók megállapították, hogy az operációs rendszerek indításakor számos Gigabyte rendszer firmware-je egy Windows bináris programot hajt végre, amely később HTTP-n vagy nem megfelelően konfigurált HTTPS kapcsolaton keresztül letölt és futtat egy újabb payloadot.
Az Eclypsium szerint nehéz egyértelműen kizárni, hogy a Gigabyte-on belülről telepítették volna azt, de arra figyelmeztettek, hogy a fenyegetési szereplők visszaélhetnek a hibával.
Az UEFI rootkiteket a támadók sok esetben arra használják, hogy a Windows malware-ek fennmaradhassanak egy kompromittált rendszeren. Ez a backdoor alkalmas erre a célra, ráadásul nehéz lehet azt véglegesen eltávolítani.
A kiberbiztonsági cég arra is figyelmeztetett, hogy a hackerek további támadásokra is használhatják a rendszer és a Gigabyte szerverei közötti nem biztonságos kapcsolatot. Több mint 270 érintett alaplapmodell listáját tették közzé, amely azt jelenti, hogy a backdoor valószínűleg több millió eszközön megtalálható.
Június 5-én a Gigabyte bejelentette a BIOS frissítések kiadását, amelyek orvosolják a sebezhetőséget.
“A Gigabyte mérnökei már csökkentették a lehetséges kockázatokat, és feltöltötték az Intel 700/600 és AMD 500/400 sorozatú béta BIOS-t a hivatalos weboldalra, miután alapos tesztelést és validálást végeztek az új BIOS-okon” – jelentette be a vállalat.
Az Intel 500/400-as és AMD 600-as sorozatú chipkészletű, valamint a korábban kiadott alaplapokhoz készült BIOS frissítések szintén megjelentek.
Az Eclypsium blogbejegyzésében a kutatók szerint 271 modellt sorol fel, amelyek érintettek lehetnek a Gigabyte alaplapok közül. Loucaides hozzáteszi, hogy azok a felhasználók, akik szeretnék megnézni, hogy melyik alaplapot használják a számítógépükben, ellenőrizhetik a "Start" menüpontot a Windowsban, majd a "System Information" (rendszerinformáció) lehetőséget.
A Gigabyte frissítőprogramja egyedül is aggodalmat kelthet azoknál a felhasználóknál, akik nem bíznak abban, hogy a Gigabyte hallgatagon telepíthet kódot a gépükre egy szinte láthatatlan eszközzel - vagy akik attól tartanak, hogy a Gigabyte mechanizmusa kihasználható lehet a hackerek számára, akik megszegik a alaplapgyártó szoftverellátási láncának rejtett hozzáférését. Az Eclypsium azonban arra is rájött, hogy a frissítési mechanizmus olyan feltűnő sebezhetőségekkel rendelkezik, amelyek lehetővé teszik annak eltérítését: letölti a kódot a felhasználó gépére anélkül, hogy megfelelően hitelesítené azt, néha még egy védett HTTPS helyett egy védetlen HTTP kapcsolaton keresztül. Ez lehetővé teszi, hogy a telepítési forrás bárki által hamisítható legyen, aki elfoghatja a felhasználó internetkapcsolatát, például egy hamis Wi-Fi hálózat segítségével.
Más esetekben a Gigabyte firmware-ében található frissítési mechanizmus által telepített frissítőprogram úgy van konfigurálva, hogy egy helyi hálózathoz csatlakoztatott tárolóeszközről (NAS) legyen letölthető. Ez a funkció úgy tűnik, hogy üzleti hálózatokra van tervezve, hogy azok a gépek frissítéseiket az internetre való kapcsolódás nélkül végezhessék. Az Eclypsium azonban figyelmeztet, hogy ilyen esetekben egy rosszindulatú szereplő a hálózaton el tudja trükközni a NAS helyét, hogy észrevétlenül saját kártékony szoftvert telepítsen.
A frissítés szigorúbb biztonsági ellenőrzéseket hajt végre a rendszerindítás során, beleértve a távoli szerverekről letöltött fájlok erősebb validálását és a távoli szervertanúsítványok szabványos ellenőrzését is. Az új biztonsági fejlesztések a vállalat szerint megakadályozzák, hogy a támadók rosszindulatú kódot illesszenek be a rendszerindítás során, és garantálják, hogy a folyamat során letöltött fájlok érvényes és megbízható tanúsítványokkal rendelkező szerverekről származnak.
A szervezeteknek és a végfelhasználóknak is érdemes áttekinteniük a fent említett listát, és amennyiben érintettek, akkor a Gigabyte weboldalán ellenőrizhetik és letölthetik a 2023. június 1. után kiadott BIOS frissítéseket.