Honderden Gigabyte-moederbordmodellen geleverd met firmware-backdoor
Onderzoekers van cyberbeveiligingsbedrijf Eclypsium ontdekten een geheim mechanisme dat is ingebed in de firmware van Gigabyte-moederborden, die veel worden gebruikt in gaming-pc's en krachtige computers. Wanneer een computer met het getroffen moederbord opnieuw opstart, activeert deze verborgen code een updateprogramma in de firmware. Vervolgens downloadt en voert het programma aanvullende software uit op de computer.
Hoewel Gigabyte deze verborgen code bedoelde als een goedaardig hulpmiddel voor firmware-updates, ontdekte Eclypsium dat deze onveilig was geïmplementeerd. Dit creëert een potentiële kwetsbaarheid die door aanvallers kan worden misbruikt om malware te installeren in plaats van de door Gigabyte bedoelde software. Het feit dat het updateprogramma wordt gestart vanuit de firmware van de computer, buiten het besturingssysteem om, maakt het moeilijk voor gebruikers om het te detecteren of te verwijderen.
John Loucaides, leider van strategie en onderzoek bij Eclypsium, benadrukt de bezorgdheid die gebruikers zouden moeten hebben over dit gedrag, aangezien hun machines onbewust code van internet ophalen en uitvoeren zonder de juiste beveiligingsmaatregelen. Hij benadrukt dat het idee van een onderliggend proces dat de controle over de machine van een gebruiker overneemt zonder hun betrokkenheid, voor de meeste mensen verontrustend is.
Honderden getroffen moederbordmodellen
In hun blogpost geeft Eclypsium een lijst met 271 Gigabyte-moederbordmodellen waarvan wordt aangenomen dat ze getroffen zijn. Loucaides suggereert dat gebruikers kunnen controleren welk moederbord hun computer gebruikt door het menu "Start" in Windows te openen en naar "Systeeminformatie" te navigeren.
Alleen al de aanwezigheid van de updater van Gigabyte kan zorgen baren voor gebruikers die op hun hoede zijn voor het stilzwijgend installeren van code op hun machines door de fabrikant, vooral gezien het verborgen toegangspunt dat het biedt in de softwaretoeleveringsketen. Uit het onderzoek van Eclypsium blijkt echter dat het updatemechanisme zelf aanzienlijke kwetsbaarheden heeft. Het downloadt code naar de machine van de gebruiker zonder de juiste authenticatie, soms via onbeveiligde HTTP-verbindingen in plaats van HTTPS. Hierdoor kan de installatiebron worden vervalst via een man-in-the-middle-aanval, zoals het onderscheppen van de internetverbinding van de gebruiker via een malafide wifi-netwerk.
In sommige gevallen is de updater die door het firmwaremechanisme van Gigabyte is geïnstalleerd, geconfigureerd om te downloaden van een lokaal netwerkopslagapparaat (NAS), een functie die in de eerste plaats is ontworpen voor bedrijven om updates centraal te beheren zonder afhankelijk te zijn van internetverbindingen voor elke machine. Eclypsium waarschuwt echter dat kwaadwillende actoren op hetzelfde netwerk de locatie van de NAS kunnen manipuleren om heimelijk hun eigen malware te installeren.
Potentiële impact van het probleem
De ontdekking van Eclypsium is verontrustend vanwege de potentiële impact op miljoenen apparaten. Rich Smith, Chief Security Officer van de supply chain-gerichte cybersecurity-startup Crash Override, vindt dat de situatie doet denken aan het Sony-rootkit-schandaal uit het midden van de jaren 2000. In dat geval verborg Sony code voor het beheer van digitale rechten op cd's, die zichzelf heimelijk op de computers van gebruikers installeerde en een kwetsbaarheid creëerde die hackers misbruikten om hun malware te verbergen. Smith trekt een parallel en stelt dat hoewel technieken die door kwaadwillende actoren worden gebruikt, mogelijk door Gigabyte zijn overgenomen, het een vergelijkbare grens overschrijdt in het firmwaredomein.
