Több száz Gigabyte alaplap-modell firmware-hátsó ajtóval szállítva
Az Eclypsium kiberbiztonsági cég kutatói egy rejtett mechanizmust fedeztek fel a Gigabyte alaplapok firmware-ébe ágyazva, amelyeket általában játék PC-kben és nagy teljesítményű számítógépekben használnak. Amikor az érintett alaplappal rendelkező számítógép újraindul, ez a rejtett kód egy frissítő programot indít el a firmware-en belül. Ezt követően a program további szoftvereket tölt le és futtat a számítógépen.
Míg a Gigabyte ezt a rejtett kódot jóindulatú eszköznek szánta a firmware-frissítésekhez, az Eclypsium úgy találta, hogy a megvalósítás nem biztonságos. Ez potenciális biztonsági rést hoz létre, amelyet kihasználva a támadók rosszindulatú programokat telepíthetnek a Gigabyte által tervezett szoftverek helyett. Az a tény, hogy a frissítőprogram a számítógép firmware-jéből indul, az operációs rendszeren kívül, megnehezíti a felhasználók észlelését vagy eltávolítását.
John Loucaides, az Eclypsium stratégiai és kutatási vezetője felhívja a figyelmet arra, hogy a felhasználóknak aggódniuk kell ezzel a viselkedéssel kapcsolatban, mivel gépeik tudtukon kívül kódot kérnek le és futtatnak az internetről megfelelő biztonsági intézkedések nélkül. Hangsúlyozza, hogy a legtöbb ember számára nyugtalanító az az elképzelés, hogy egy mögöttes folyamat átveszi az irányítást a felhasználó gépe felett az ő részvételük nélkül.
Több száz érintett alaplapmodell
A blogbejegyzésében az Eclypsium felsorolja azokat a 271 Gigabyte-os alaplapmodelleket, amelyekről feltételezhető, hogy érintettek. Loucaides azt javasolja, hogy a felhasználók a Windows "Start" menüjében és a "Rendszerinformációk" menüpontban ellenőrizhetik, melyik alaplapot használják a számítógépükön.
A Gigabyte frissítőjének jelenléte önmagában is aggodalmat kelthet azon felhasználókban, akik óvakodnak attól, hogy a gyártó csendben telepítse a kódot a gépükre, különös tekintettel a rejtett hozzáférési pontra, amelyet a szoftverellátási láncban biztosít. Az Eclypsium kutatása azonban feltárja, hogy magának a frissítési mechanizmusnak is vannak jelentős sebezhetőségei. Megfelelő hitelesítés nélkül tölti le a kódot a felhasználó gépére, néha HTTPS helyett nem biztonságos HTTP-kapcsolatokon keresztül. Ez lehetővé teszi a telepítési forrás meghamisítását egy „man-in-the-middle” támadáson keresztül, például a felhasználó internetkapcsolatának elfogását egy szélhámos Wi-Fi hálózaton keresztül.
Egyes esetekben a Gigabyte firmware-mechanizmusa által telepített frissítő úgy van konfigurálva, hogy egy helyi hálózathoz csatlakoztatott tárolóeszközről (NAS) töltsön le. Ez a szolgáltatás elsősorban a vállalkozások számára készült, hogy központilag adminisztrálják a frissítéseket, anélkül, hogy az egyes gépek internetkapcsolatára támaszkodnának. Az Eclypsium azonban arra figyelmeztet, hogy az ugyanazon a hálózaton lévő rosszindulatú szereplők manipulálhatják a NAS helyét, hogy titokban telepítsék saját rosszindulatú programjaikat.
A probléma lehetséges hatása
Az Eclypsium felfedezése aggodalomra ad okot, mert készülékek millióit érintheti. Rich Smith, az ellátási láncra fókuszáló Crash Override kiberbiztonsági startup biztonsági igazgatója szerint a helyzet a Sony rootkit-botrányára emlékeztet a 2000-es évek közepén. Ebben az esetben a Sony elrejtette a digitális jogkezelési kódot a CD-ken, ami rejtetten telepítette magát a felhasználók számítógépére, és olyan sebezhetőséget hozott létre, amelyet a hackerek kihasználtak rosszindulatú programjaik elrejtésére. Smith párhuzamot von, és kijelenti, hogy bár a Gigabyte átvette a rosszindulatú szereplők által használt technikákat, a firmware-tartományban hasonló határvonalat lép át.