Hunderte von Gigabyte-Motherboard-Modellen werden mit Firmware-Hintertür ausgeliefert

gigabyte motherboard backdoor firmware malware

Forscher des Cybersicherheitsunternehmens Eclypsium entdeckten einen verdeckten Mechanismus, der in die Firmware von Gigabyte-Motherboards eingebettet ist, die häufig in Gaming-PCs und Hochleistungscomputern verwendet werden. Wenn ein Computer mit dem betroffenen Motherboard neu startet, löst dieser versteckte Code ein Aktualisierungsprogramm innerhalb der Firmware aus. Anschließend lädt das Programm zusätzliche Software herunter und führt sie auf dem Computer aus.

Während Gigabyte diesen versteckten Code als harmloses Tool für Firmware-Updates nutzen wollte, stellte Eclypsium fest, dass er unsicher implementiert war. Dadurch entsteht eine potenzielle Schwachstelle, die von Angreifern ausgenutzt werden könnte, um Malware anstelle der von Gigabyte vorgesehenen Software zu installieren. Die Tatsache, dass das Updater-Programm von der Firmware des Computers, also außerhalb des Betriebssystems, gestartet wird, macht es für Benutzer schwierig, es zu erkennen oder zu entfernen.

John Loucaides, Leiter Strategie und Forschung bei Eclypsium, betont die Besorgnis, die Benutzer hinsichtlich dieses Verhaltens haben sollten, da ihre Maschinen ohne angemessene Sicherheitsmaßnahmen unwissentlich Code aus dem Internet abrufen und ausführen. Er betont, dass die Vorstellung, dass ein zugrunde liegender Prozess ohne dessen Beteiligung die Kontrolle über den Computer eines Benutzers übernimmt, für die meisten Menschen beunruhigend ist.

Hunderte betroffene Motherboard-Modelle

Eclypsium stellt in seinem Blogbeitrag eine Liste von 271 Gigabyte-Motherboard-Modellen zur Verfügung, die vermutlich betroffen sind. Loucaides schlägt vor, dass Benutzer überprüfen können, welches Motherboard ihr Computer verwendet, indem sie auf das „Start“-Menü in Windows zugreifen und zu „Systeminformationen“ navigieren.

Allein das Vorhandensein des Gigabyte-Updaters könnte bei Benutzern Bedenken hervorrufen, die davor zurückschrecken, dass der Hersteller Code stillschweigend auf ihren Computern installiert, insbesondere angesichts des versteckten Zugangspunkts, den er in der Software-Lieferkette bietet. Die Untersuchungen von Eclypsium zeigen jedoch, dass der Update-Mechanismus selbst erhebliche Schwachstellen aufweist. Es lädt Code ohne ordnungsgemäße Authentifizierung auf den Computer des Benutzers herunter, manchmal über ungesicherte HTTP-Verbindungen anstelle von HTTPS. Dadurch kann die Installationsquelle durch einen Man-in-the-Middle-Angriff gefälscht werden, beispielsweise durch das Abfangen der Internetverbindung des Benutzers über ein betrügerisches Wi-Fi-Netzwerk.

In einigen Fällen ist der durch den Firmware-Mechanismus von Gigabyte installierte Updater so konfiguriert, dass er von einem lokalen Netzwerkspeichergerät (NAS) herunterlädt. Diese Funktion ist in erster Linie für Unternehmen gedacht, um Updates zentral zu verwalten, ohne auf Internetverbindungen für jeden Computer angewiesen zu sein. Eclypsium warnt jedoch davor, dass böswillige Akteure im selben Netzwerk den Standort des NAS manipulieren könnten, um heimlich ihre eigene Malware zu installieren.

Mögliche Auswirkungen des Problems

Die Entdeckung von Eclypsium ist besorgniserregend, da sie möglicherweise Auswirkungen auf Millionen von Geräten hat. Rich Smith, Chief Security Officer des Supply-Chain-fokussierten Cybersicherheits-Startups Crash Override, findet, dass die Situation an den Sony-Rootkit-Skandal Mitte der 2000er Jahre erinnert. In diesem Fall versteckte Sony Code zur Verwaltung digitaler Rechte auf CDs, der sich heimlich auf den Computern der Benutzer installierte und eine Sicherheitslücke schuf, die Hacker ausnutzten, um ihre Malware zu verbergen. Smith zieht eine Parallele und stellt fest, dass Techniken, die von böswilligen Akteuren verwendet werden, zwar möglicherweise von Gigabyte übernommen wurden, im Firmware-Bereich jedoch eine ähnliche Grenze überschritten werden.

June 1, 2023
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.