PC-alaplapok millióit adtak el firmware-hátsó ajtóval – Ars Technica

A számítógép UEFI firmware-jében rejtőző rosszindulatú program, a mély kód, amely megmondja a számítógépnek, hogyan töltse be az operációs rendszerét, álruhában rosszindulatú trükk lett a hackerek eszköztárában. De amikor egy alaplapgyártó saját rejtett hátsó ajtót telepít számítógépek millióinak firmware-ébe – és nem zárja le megfelelően ezt a rejtett hátsó ajtót –, akkor gyakorlatilag elvégzik helyettük a hackerek munkáját.

Az Eclypsium firmware-központú kiberbiztonsági cég kutatói ma felfedték, hogy rejtett mechanizmust fedeztek fel a tajvani Gigabyte gyártó által forgalmazott alaplapok firmware-ében, amelyek összetevőit általában játék PC-kben és más nagy teljesítményű PC-kben használják. Amikor egy érintett Gigabyte alaplappal rendelkező számítógépet újraindítanak, az Eclypsium azt észleli, hogy az alaplap firmware-jében található kód láthatatlanul elindít egy frissítő programot a számítógépen, majd letölt és végrehajt egy másikat.

Míg az Eclypsium azt állítja, hogy a rejtett kód egy ártalmatlan eszköz az alaplap firmware-ének naprakészen tartásához, a kutatók azt találták, hogy a végrehajtása nem volt biztonságos, ami lehetővé teheti a mechanizmus eltérítését és rosszindulatú programok telepítésére a tervezett helyett. Gigabyte szoftver. És mivel a frissítő a számítógép firmware-jéből fut, az operációs rendszeren kívül, a felhasználók számára nehéz eltávolítani vagy akár észlelni is.

mondja John Lucidis, aki az Eclypsium stratégiáját és kutatását vezeti. „A legtöbb ember számára nem áll jól az a koncepció, hogy a végfelhasználó irányítása alatt kell dolgozni és átvenni az eszközét.”

abban Blogbejegyzés a kutatásrólAz Eclypsium 271 tipikus GIGABYTE alaplapot sorol fel, amelyek a kutatók szerint érintettek. Loucaides hozzáteszi, hogy azok a felhasználók, akik szeretnék tudni, hogy a számítógép milyen alaplapot használ, a Windows Start menüjében, majd a Rendszerinformációk menüpontban ellenőrizheti.

Az Eclypsium azt állítja, hogy megtalálta a Gigabyte rejtett firmware-mechanizmusát, miközben az ügyfelek számítógépeit firmware-alapú rosszindulatú kódok után vizsgálta, amely a kifinomult hackerek által egyre népszerűbb eszköz. 2018-ban például az orosz katonai hírszerző ügynökség, a GRU megbízásából dolgozó hackereket csendben telepítették. Firmware-alapú lopásgátló szoftver, LoJack az áldozatok eszközein, mint kémkedési taktika. A kínai államilag támogatott hackerekre két évvel később figyeltek fel Hasznosítson újra egy firmware-alapú kémprogram-eszközt A Hacking Team feltörő cég hozta létre, hogy megcélozza diplomaták és civil szervezetek munkatársainak számítógépeit Afrikában, Ázsiában és Európában. Az Eclypsium kutatóit meglepte, hogy az automatizált szkennelések felfedték a Gigabyte frissítési mechanizmusát, amely bizonyos zavaros viselkedéseket hajt végre, például államilag szponzorált hackereszközöket – elrejtőzik a firmware-ben és olyan szoftvereket telepít, amelyek csendben töltik le a kódot az internetről.

Egyedül a Gigabyte frissítő riasztotta el azokat a felhasználókat, akik nem bíznak a Gigabyte-ban abban, hogy egy szinte láthatatlan eszközzel csendben kódot telepítsen eszközeikre – vagy attól tartanak, hogy a Gigabyte mechanizmusát kihasználhatják a hackerek, akik kompromittálják az alaplap gyártóját, hogy kihasználják annak rejtett hozzáférését. Szoftver ellátási lánc támadás. De az Eclypsium azt is felfedezte, hogy a frissítési mechanizmust kirívó biztonsági résekkel valósították meg, amelyek lehetővé tehetik a kompromittálást: a HTTPS helyett letölti a kódot a felhasználó gépére anélkül, hogy megfelelően hitelesítené azt, néha akár egy nem védett HTTP-kapcsolaton keresztül is. Ez lehetővé tenné, hogy a telepítési forrást megkerüljék egy „man-in-the-middle” támadás, amelyet bárki végrehajthat, aki elkaphatja a felhasználó internetkapcsolatát, például egy meghamisított Wi-Fi hálózat.

Más esetekben a mechanizmus által telepített frissítő a Gigabyte firmware-ében úgy van konfigurálva, hogy egy helyi hálózathoz csatolt tárolóeszközről (NAS) tölthető le. Ez a funkció úgy tűnik, hogy az üzleti hálózatok számára készült, hogy anélkül kezeljék a frissítéseket, hogy minden gépük hozzáférne az internethez. Az Eclypsium azonban arra figyelmeztet, hogy ezekben az esetekben az ugyanazon a hálózaton lévő rosszindulatú szereplő a NAS-t kiadva saját rosszindulatú programot telepíthet helyette.

Az Eclypsium azt állítja, hogy együttműködik a Gigabyte-tal annak érdekében, hogy az alaplap gyártójával közölje megállapításait, és a Gigabyte azt mondta, hogy tervezi a problémák megoldását. A Gigabyte nem válaszolt a WIRED többszöri megjegyzéskérésére az Eclypsium eredményeivel kapcsolatban.

Még ha a Gigabyte kijavítja is a saját firmware-problémáját – elvégre a probléma a firmware-frissítések automatizálására szolgáló Gigabyte eszközből ered –, az Eclypsium Loucaides rámutat, hogy a firmware gyakran frissül. Csendes megszakítás a felhasználók gépein, sok esetben bonyolultsága, valamint a firmware és a hardver összehangolásának nehézségei miatt. „Még mindig úgy gondolom, hogy ez a GIGABYTE alaplapok meglehetősen gyakori problémája lesz az elkövetkező években” – mondja Lukaides.

A potenciálisan érintett eszközök millióit tekintve az Eclypsium felfedezése „riasztó” – mondja Rich Smith, a Crash Override, az ellátási láncra összpontosító kiberbiztonsági startup biztonsági igazgatója. Smith közzétette a firmware-sebezhetőségek keresését, és áttekintette az Eclypsium eredményeit. A helyzetet a Sony rootkit botrányához hasonlítja a 2000-es évek közepén. A Sony elrejtette a DRM-kódot a CD-lemezeken, amelyeket láthatatlanul telepítettek a felhasználók számítógépére, így létrehozva egy sebezhetőséget, amellyel a hackerek elrejtették rosszindulatú programjaikat. „Használhat olyan technikákat, amelyeket a rosszindulatú szereplők hagyományosan használtak, de ez nem volt elfogadható, túl messzire ment” – mondja Smith. „Nem tudok beszélni arról, hogy a Gigabyte miért választotta ezt a módszert a szoftver szállítására. De számomra ez olyan, mintha átlépnék egy hasonló határvonalat a firmware terén.”

Smith elismeri, hogy a Gigabyte-nak nem lehetett rosszindulatú vagy megtévesztő szándéka a rejtett firmware-eszközben. De azáltal, hogy meghagyják a sebezhetőséget a sok számítógép operációs rendszere alatti láthatatlan kódban, mindazonáltal aláássák a felhasználók hardverbe vetett bizalmának egy lényeges rétegét. „Nincs itt semmi szándék, csak kosz. De nem akarom, hogy bárki piszkosul írja a firmware-emet” – mondja Smith. „Ha nem bízik a firmware-ben, akkor a homokba építi a házát.”

Ez a történet eredetileg megjelent vezetékes.com.