A számítógép UEFI firmware-jében rejtőző rosszindulatú program, a mély kód, amely megmondja a számítógépnek, hogyan töltse be az operációs rendszerét, álruhában rosszindulatú trükk lett a hackerek eszköztárában. De amikor egy alaplapgyártó saját rejtett hátsó ajtót telepít számítógépek millióinak firmware-ébe – és nem zárja le megfelelően ezt a rejtett hátsó ajtót –, akkor gyakorlatilag elvégzik helyettük a hackerek munkáját.
Az Eclypsium firmware-központú kiberbiztonsági cég kutatói ma felfedték, hogy rejtett mechanizmust fedeztek fel a tajvani Gigabyte gyártó által forgalmazott alaplapok firmware-ében, amelyek összetevőit általában játék PC-kben és más nagy teljesítményű PC-kben használják. Amikor egy érintett Gigabyte alaplappal rendelkező számítógépet újraindítanak, az Eclypsium azt észleli, hogy az alaplap firmware-jében található kód láthatatlanul elindít egy frissítő programot a számítógépen, majd letölt és végrehajt egy másikat.
Míg az Eclypsium azt állítja, hogy a rejtett kód egy ártalmatlan eszköz az alaplap firmware-ének naprakészen tartásához, a kutatók azt találták, hogy a végrehajtása nem volt biztonságos, ami lehetővé teheti a mechanizmus eltérítését és rosszindulatú programok telepítésére a tervezett helyett. Gigabyte szoftver. És mivel a frissítő a számítógép firmware-jéből fut, az operációs rendszeren kívül, a felhasználók számára nehéz eltávolítani vagy akár észlelni is.
mondja John Lucidis, aki az Eclypsium stratégiáját és kutatását vezeti. „A legtöbb ember számára nem áll jól az a koncepció, hogy a végfelhasználó irányítása alatt kell dolgozni és átvenni az eszközét.”
abban Blogbejegyzés a kutatásrólAz Eclypsium 271 tipikus GIGABYTE alaplapot sorol fel, amelyek a kutatók szerint érintettek. Loucaides hozzáteszi, hogy azok a felhasználók, akik szeretnék tudni, hogy a számítógép milyen alaplapot használ, a Windows Start menüjében, majd a Rendszerinformációk menüpontban ellenőrizheti.
Az Eclypsium azt állítja, hogy megtalálta a Gigabyte rejtett firmware-mechanizmusát, miközben az ügyfelek számítógépeit firmware-alapú rosszindulatú kódok után vizsgálta, amely a kifinomult hackerek által egyre népszerűbb eszköz. 2018-ban például az orosz katonai hírszerző ügynökség, a GRU megbízásából dolgozó hackereket csendben telepítették. Firmware-alapú lopásgátló szoftver, LoJack az áldozatok eszközein, mint kémkedési taktika. A kínai államilag támogatott hackerekre két évvel később figyeltek fel Hasznosítson újra egy firmware-alapú kémprogram-eszközt A Hacking Team feltörő cég hozta létre, hogy megcélozza diplomaták és civil szervezetek munkatársainak számítógépeit Afrikában, Ázsiában és Európában. Az Eclypsium kutatóit meglepte, hogy az automatizált szkennelések felfedték a Gigabyte frissítési mechanizmusát, amely bizonyos zavaros viselkedéseket hajt végre, például államilag szponzorált hackereszközöket – elrejtőzik a firmware-ben és olyan szoftvereket telepít, amelyek csendben töltik le a kódot az internetről.
Egyedül a Gigabyte frissítő riasztotta el azokat a felhasználókat, akik nem bíznak a Gigabyte-ban abban, hogy egy szinte láthatatlan eszközzel csendben kódot telepítsen eszközeikre – vagy attól tartanak, hogy a Gigabyte mechanizmusát kihasználhatják a hackerek, akik kompromittálják az alaplap gyártóját, hogy kihasználják annak rejtett hozzáférését. Szoftver ellátási lánc támadás. De az Eclypsium azt is felfedezte, hogy a frissítési mechanizmust kirívó biztonsági résekkel valósították meg, amelyek lehetővé tehetik a kompromittálást: a HTTPS helyett letölti a kódot a felhasználó gépére anélkül, hogy megfelelően hitelesítené azt, néha akár egy nem védett HTTP-kapcsolaton keresztül is. Ez lehetővé tenné, hogy a telepítési forrást megkerüljék egy „man-in-the-middle” támadás, amelyet bárki végrehajthat, aki elkaphatja a felhasználó internetkapcsolatát, például egy meghamisított Wi-Fi hálózat.
Más esetekben a mechanizmus által telepített frissítő a Gigabyte firmware-ében úgy van konfigurálva, hogy egy helyi hálózathoz csatolt tárolóeszközről (NAS) tölthető le. Ez a funkció úgy tűnik, hogy az üzleti hálózatok számára készült, hogy anélkül kezeljék a frissítéseket, hogy minden gépük hozzáférne az internethez. Az Eclypsium azonban arra figyelmeztet, hogy ezekben az esetekben az ugyanazon a hálózaton lévő rosszindulatú szereplő a NAS-t kiadva saját rosszindulatú programot telepíthet helyette.
Az Eclypsium azt állítja, hogy együttműködik a Gigabyte-tal annak érdekében, hogy az alaplap gyártójával közölje megállapításait, és a Gigabyte azt mondta, hogy tervezi a problémák megoldását. A Gigabyte nem válaszolt a WIRED többszöri megjegyzéskérésére az Eclypsium eredményeivel kapcsolatban.
Még ha a Gigabyte kijavítja is a saját firmware-problémáját – elvégre a probléma a firmware-frissítések automatizálására szolgáló Gigabyte eszközből ered –, az Eclypsium Loucaides rámutat, hogy a firmware gyakran frissül. Csendes megszakítás a felhasználók gépein, sok esetben bonyolultsága, valamint a firmware és a hardver összehangolásának nehézségei miatt. „Még mindig úgy gondolom, hogy ez a GIGABYTE alaplapok meglehetősen gyakori problémája lesz az elkövetkező években” – mondja Lukaides.
A potenciálisan érintett eszközök millióit tekintve az Eclypsium felfedezése „riasztó” – mondja Rich Smith, a Crash Override, az ellátási láncra összpontosító kiberbiztonsági startup biztonsági igazgatója. Smith közzétette a firmware-sebezhetőségek keresését, és áttekintette az Eclypsium eredményeit. A helyzetet a Sony rootkit botrányához hasonlítja a 2000-es évek közepén. A Sony elrejtette a DRM-kódot a CD-lemezeken, amelyeket láthatatlanul telepítettek a felhasználók számítógépére, így létrehozva egy sebezhetőséget, amellyel a hackerek elrejtették rosszindulatú programjaikat. „Használhat olyan technikákat, amelyeket a rosszindulatú szereplők hagyományosan használtak, de ez nem volt elfogadható, túl messzire ment” – mondja Smith. „Nem tudok beszélni arról, hogy a Gigabyte miért választotta ezt a módszert a szoftver szállítására. De számomra ez olyan, mintha átlépnék egy hasonló határvonalat a firmware terén.”
Smith elismeri, hogy a Gigabyte-nak nem lehetett rosszindulatú vagy megtévesztő szándéka a rejtett firmware-eszközben. De azáltal, hogy meghagyják a sebezhetőséget a sok számítógép operációs rendszere alatti láthatatlan kódban, mindazonáltal aláássák a felhasználók hardverbe vetett bizalmának egy lényeges rétegét. „Nincs itt semmi szándék, csak kosz. De nem akarom, hogy bárki piszkosul írja a firmware-emet” – mondja Smith. „Ha nem bízik a firmware-ben, akkor a homokba építi a házát.”
Ez a történet eredetileg megjelent vezetékes.com.
„Odaadó úttörő az utazásokban. Szabadúszó sörtudós. Szenvedélyes elemző. Kemény twitter-fanatikus.”
More Stories
Fekete mítosz: A Wukong 1.0.8.14860 frissítés néhány fontos javítást tartalmaz, és különösen egy főnököt gyengít
A Castlevania Dominus Collection fizikai megjelenése megerősítve, az előrendelések a következő hónapban indulnak
Az iPhone 16 még nem jelent meg, és valójában van miért várni az iPhone 17 megjelenéséig