
Pepperite / Getty Images
A számítógép UEFI firmware-jében rejtőző rosszindulatú program, a mély kód, amely megmondja a számítógépnek, hogyan töltse be az operációs rendszerét, álruhában rosszindulatú trükk lett a hackerek eszköztárában. De amikor egy alaplapgyártó saját rejtett hátsó ajtót telepít számítógépek millióinak firmware-ébe – és nem zárja le megfelelően ezt a rejtett hátsó ajtót –, akkor gyakorlatilag elvégzik helyettük a hackerek munkáját.
Az Eclypsium firmware-központú kiberbiztonsági cég kutatói ma felfedték, hogy rejtett mechanizmust fedeztek fel a tajvani Gigabyte gyártó által forgalmazott alaplapok firmware-ében, amelyek összetevőit általában játék PC-kben és más nagy teljesítményű PC-kben használják. Amikor egy érintett Gigabyte alaplappal rendelkező számítógépet újraindítanak, az Eclypsium azt észleli, hogy az alaplap firmware-jében található kód láthatatlanul elindít egy frissítő programot a számítógépen, majd letölt és végrehajt egy másikat.
Míg az Eclypsium azt állítja, hogy a rejtett kód egy ártalmatlan eszköz az alaplap firmware-ének naprakészen tartásához, a kutatók azt találták, hogy a végrehajtása nem volt biztonságos, ami lehetővé teheti a mechanizmus eltérítését és rosszindulatú programok telepítésére a tervezett helyett. Gigabyte szoftver. És mivel a frissítő a számítógép firmware-jéből fut, az operációs rendszeren kívül, a felhasználók számára nehéz eltávolítani vagy akár észlelni is.
mondja John Lucidis, aki az Eclypsium stratégiáját és kutatását vezeti. „A legtöbb ember számára nem áll jól az a koncepció, hogy a végfelhasználó irányítása alatt kell dolgozni és átvenni az eszközét.”
abban Blogbejegyzés a kutatásrólAz Eclypsium 271 tipikus GIGABYTE alaplapot sorol fel, amelyek a kutatók szerint érintettek. Loucaides hozzáteszi, hogy azok a felhasználók, akik szeretnék tudni, hogy a számítógép milyen alaplapot használ, a Windows Start menüjében, majd a Rendszerinformációk menüpontban ellenőrizheti.
Az Eclypsium azt állítja, hogy megtalálta a Gigabyte rejtett firmware-mechanizmusát, miközben az ügyfelek számítógépeit firmware-alapú rosszindulatú kódok után vizsgálta, amely a kifinomult hackerek által egyre népszerűbb eszköz. 2018-ban például az orosz katonai hírszerző ügynökség, a GRU megbízásából dolgozó hackereket csendben telepítették. Firmware-alapú lopásgátló szoftver, LoJack az áldozatok eszközein, mint kémkedési taktika. A kínai államilag támogatott hackerekre két évvel később figyeltek fel Hasznosítson újra egy firmware-alapú kémprogram-eszközt A Hacking Team feltörő cég hozta létre, hogy megcélozza diplomaták és civil szervezetek munkatársainak számítógépeit Afrikában, Ázsiában és Európában. Az Eclypsium kutatóit meglepte, hogy az automatizált szkennelések felfedték a Gigabyte frissítési mechanizmusát, amely bizonyos zavaros viselkedéseket hajt végre, például államilag szponzorált hackereszközöket – elrejtőzik a firmware-ben és olyan szoftvereket telepít, amelyek csendben töltik le a kódot az internetről.
Egyedül a Gigabyte frissítő riasztotta el azokat a felhasználókat, akik nem bíznak a Gigabyte-ban abban, hogy egy szinte láthatatlan eszközzel csendben kódot telepítsen eszközeikre – vagy attól tartanak, hogy a Gigabyte mechanizmusát kihasználhatják a hackerek, akik kompromittálják az alaplap gyártóját, hogy kihasználják annak rejtett hozzáférését. Szoftver ellátási lánc támadás. De az Eclypsium azt is felfedezte, hogy a frissítési mechanizmust kirívó biztonsági résekkel valósították meg, amelyek lehetővé tehetik a kompromittálást: a HTTPS helyett letölti a kódot a felhasználó gépére anélkül, hogy megfelelően hitelesítené azt, néha akár egy nem védett HTTP-kapcsolaton keresztül is. Ez lehetővé tenné, hogy a telepítési forrást megkerüljék egy „man-in-the-middle” támadás, amelyet bárki végrehajthat, aki elkaphatja a felhasználó internetkapcsolatát, például egy meghamisított Wi-Fi hálózat.
Más esetekben a mechanizmus által telepített frissítő a Gigabyte firmware-ében úgy van konfigurálva, hogy egy helyi hálózathoz csatolt tárolóeszközről (NAS) tölthető le. Ez a funkció úgy tűnik, hogy az üzleti hálózatok számára készült, hogy anélkül kezeljék a frissítéseket, hogy minden gépük hozzáférne az internethez. Az Eclypsium azonban arra figyelmeztet, hogy ezekben az esetekben az ugyanazon a hálózaton lévő rosszindulatú szereplő a NAS-t kiadva saját rosszindulatú programot telepíthet helyette.
Az Eclypsium azt állítja, hogy együttműködik a Gigabyte-tal annak érdekében, hogy az alaplap gyártójával közölje megállapításait, és a Gigabyte azt mondta, hogy tervezi a problémák megoldását. A Gigabyte nem válaszolt a WIRED többszöri megjegyzéskérésére az Eclypsium eredményeivel kapcsolatban.
Még ha a Gigabyte kijavítja is a saját firmware-problémáját – elvégre a probléma a firmware-frissítések automatizálására szolgáló Gigabyte eszközből ered –, az Eclypsium Loucaides rámutat, hogy a firmware gyakran frissül. Csendes megszakítás a felhasználók gépein, sok esetben bonyolultsága, valamint a firmware és a hardver összehangolásának nehézségei miatt. „Még mindig úgy gondolom, hogy ez a GIGABYTE alaplapok meglehetősen gyakori problémája lesz az elkövetkező években” – mondja Lukaides.
A potenciálisan érintett eszközök millióit tekintve az Eclypsium felfedezése „riasztó” – mondja Rich Smith, a Crash Override, az ellátási láncra összpontosító kiberbiztonsági startup biztonsági igazgatója. Smith közzétette a firmware-sebezhetőségek keresését, és áttekintette az Eclypsium eredményeit. A helyzetet a Sony rootkit botrányához hasonlítja a 2000-es évek közepén. A Sony elrejtette a DRM-kódot a CD-lemezeken, amelyeket láthatatlanul telepítettek a felhasználók számítógépére, így létrehozva egy sebezhetőséget, amellyel a hackerek elrejtették rosszindulatú programjaikat. „Használhat olyan technikákat, amelyeket a rosszindulatú szereplők hagyományosan használtak, de ez nem volt elfogadható, túl messzire ment” – mondja Smith. „Nem tudok beszélni arról, hogy a Gigabyte miért választotta ezt a módszert a szoftver szállítására. De számomra ez olyan, mintha átlépnék egy hasonló határvonalat a firmware terén.”
Smith elismeri, hogy a Gigabyte-nak nem lehetett rosszindulatú vagy megtévesztő szándéka a rejtett firmware-eszközben. De azáltal, hogy meghagyják a sebezhetőséget a sok számítógép operációs rendszere alatti láthatatlan kódban, mindazonáltal aláássák a felhasználók hardverbe vetett bizalmának egy lényeges rétegét. „Nincs itt semmi szándék, csak kosz. De nem akarom, hogy bárki piszkosul írja a firmware-emet” – mondja Smith. „Ha nem bízik a firmware-ben, akkor a homokba építi a házát.”
Ez a történet eredetileg megjelent vezetékes.com.

Imre Kertész az Androbit szerzője, aki hírekkel, politikával, üzleti témákkal, technológiával, sporttal, szórakozással és életmóddal foglalkozik. Célja, hogy közérthető, hasznos és megbízható információkkal segítse az olvasókat az aktuális események és fontos témák követésében.


More Stories
A RedMagic hivatalosan is megerősítette új csúcskategóriás OLED gamer táblagépének globális érkezését
A OnePlus új részleteket árult el a kedvező árú Turbo 6X Pro okostelefonról
A Lenovo kedvezőbb árú, 16 hüvelykes ThinkPadet mutatott be Panther Lake processzorral és akár 32 GB RAM-mal