Hundredvis af Gigabyte bundkortmodeller leveret med firmware-bagdør

Forskere med cybersikkerhedsfirmaet Eclypsium opdagede en skjult mekanisme indlejret i firmwaren på Gigabyte-bundkort, som almindeligvis bruges i gaming-pc'er og højtydende computere. Når en computer med det berørte bundkort genstarter, udløser denne skjulte kode et opdateringsprogram i firmwaren. Efterfølgende downloader og udfører programmet yderligere software på computeren.

Mens Gigabyte havde til hensigt at denne skjulte kode skulle fungere som et godartet værktøj til firmwareopdateringer, fandt Eclypsium ud af, at den var implementeret usikkert. Dette skaber en potentiel sårbarhed, der kunne udnyttes af angribere til at installere malware i stedet for Gigabytes tilsigtede software. Det faktum, at opdateringsprogrammet startes fra computerens firmware, uden for operativsystemet, gør det svært for brugerne at opdage eller fjerne.

John Loucaides, leder af strategi og forskning hos Eclypsium, fremhæver den bekymring, som brugere bør have vedrørende denne adfærd, da deres maskiner ubevidst henter og kører kode fra internettet uden ordentlige sikkerhedsforanstaltninger. Han understreger, at tanken om, at en underliggende proces tager kontrol over en brugers maskine uden deres involvering, er foruroligende for de fleste.

Hundredvis af berørte bundkortmodeller

I deres blogindlæg giver Eclypsium en liste over 271 Gigabyte bundkortmodeller, der menes at være påvirket. Loucaides foreslår, at brugere kan tjekke, hvilket bundkort deres computer bruger ved at få adgang til menuen "Start" i Windows og navigere til "Systemoplysninger".

Tilstedeværelsen af Gigabytes opdatering alene kan give anledning til bekymring for brugere, der er på vagt over for at få kode installeret stille på deres maskiner af producenten, især i betragtning af det skjulte adgangspunkt, det giver i softwareforsyningskæden. Eclypsiums forskning afslører dog, at selve opdateringsmekanismen har betydelige sårbarheder. Den downloader kode til brugerens maskine uden korrekt godkendelse, nogle gange over usikrede HTTP-forbindelser i stedet for HTTPS. Dette gør det muligt at forfalske installationskilden gennem et man-in-the-middle-angreb, såsom at opsnappe brugerens internetforbindelse via et useriøst Wi-Fi-netværk.

I nogle tilfælde er opdateringsprogrammet, der er installeret af Gigabytes firmwaremekanisme, konfigureret til at downloade fra en lokal netværkstilsluttet lagerenhed (NAS), en funktion, der primært er designet til, at virksomheder centralt kan administrere opdateringer uden at være afhængige af internetforbindelser for hver maskine. Eclypsium advarer dog om, at ondsindede aktører på det samme netværk kan manipulere NAS'ens placering for i det skjulte at installere deres egen malware.

Potentiel indvirkning af problemet

Eclypsiums opdagelse er bekymrende på grund af den potentielle indvirkning på millioner af enheder. Rich Smith, Chief Security Officer for supply-chain-fokuserede cybersikkerhedsstartup Crash Override, finder, at situationen minder om Sony rootkit-skandalen fra midten af 2000'erne. I det tilfælde gemte Sony digital-rettighedsstyringskode på cd'er, som skjult installerede sig selv på brugernes computere og skabte en sårbarhed, som hackere udnyttede til at skjule deres malware. Smith drager en parallel og siger, at selvom teknikker brugt af ondsindede aktører kan være blevet adopteret af Gigabyte, krydser det en lignende grænse i firmwaredomænet.