Hundrevis av Gigabyte hovedkortmodeller levert med fastvarebakdør

Forskere med cybersikkerhetsselskapet Eclypsium oppdaget en skjult mekanisme innebygd i fastvaren til Gigabyte-hovedkort, som ofte brukes i spill-PCer og høyytelsesdatamaskiner. Når en datamaskin med det berørte hovedkortet starter på nytt, utløser denne skjulte koden et oppdateringsprogram i fastvaren. Deretter laster programmet ned og kjører tilleggsprogramvare på datamaskinen.

Mens Gigabyte hadde til hensikt at denne skjulte koden skulle tjene som et godartet verktøy for fastvareoppdateringer, fant Eclypsium ut at den ble implementert usikkert. Dette skaper en potensiell sårbarhet som kan utnyttes av angripere til å installere skadelig programvare i stedet for Gigabytes tiltenkte programvare. Det faktum at oppdateringsprogrammet startes fra datamaskinens fastvare, utenfor operativsystemet, gjør det vanskelig for brukere å oppdage eller fjerne.

John Loucaides, leder for strategi og forskning ved Eclypsium, fremhever bekymringen brukere bør ha angående denne oppførselen, ettersom maskinene deres ubevisst henter og kjører kode fra internett uten riktige sikkerhetstiltak. Han understreker at ideen om en underliggende prosess som tar kontroll over en brukers maskin uten deres involvering er foruroligende for folk flest.

Hundrevis av berørte hovedkortmodeller

I blogginnlegget deres gir Eclypsium en liste over 271 Gigabyte hovedkortmodeller som antas å være berørt. Loucaides foreslår at brukere kan sjekke hvilket hovedkort datamaskinen bruker ved å gå til "Start"-menyen i Windows og navigere til "Systeminformasjon".

Tilstedeværelsen av Gigabytes oppdateringsverktøy alene kan skape bekymring for brukere som er på vakt mot å ha kode installert stille på maskinene sine av produsenten, spesielt med tanke på det skjulte tilgangspunktet det gir i programvareforsyningskjeden. Eclypsiums forskning avslører imidlertid at selve oppdateringsmekanismen har betydelige sårbarheter. Den laster ned kode til brukerens maskin uten riktig autentisering, noen ganger over usikrede HTTP-tilkoblinger i stedet for HTTPS. Dette gjør at installasjonskilden kan forfalskes gjennom et mann-i-midten-angrep, for eksempel avskjæring av brukerens internettforbindelse via et falskt Wi-Fi-nettverk.

I noen tilfeller er oppdateringsprogrammet installert av Gigabytes fastvaremekanisme konfigurert til å lastes ned fra en lokal nettverkstilkoblet lagringsenhet (NAS), en funksjon som primært er utviklet for bedrifter å administrere oppdateringer sentralt uten å stole på internettforbindelser for hver maskin. Eclypsium advarer imidlertid om at ondsinnede aktører på samme nettverk kan manipulere NAS-ens plassering for å i det skjulte installere sin egen skadevare.

Potensiell innvirkning av problemet

Eclypsiums oppdagelse er urovekkende på grunn av den potensielle innvirkningen på millioner av enheter. Rich Smith, Chief Security Officer for supply-chain-fokusert cybersecurity-startup Crash Override, synes situasjonen minner om Sony rootkit-skandalen fra midten av 2000-tallet. I så fall gjemte Sony digital-rettighetsadministrasjonskode på CD-er, som i det skjulte installerte seg på brukernes datamaskiner og skapte en sårbarhet som hackere utnyttet for å skjule skadelig programvare. Smith trekker en parallell og sier at selv om teknikker brukt av ondsinnede aktører kan ha blitt tatt i bruk av Gigabyte, krysser den en lignende linje i fastvaredomenet.