Setki modeli płyt głównych Gigabyte dostarczonych z oprogramowaniem sprzętowym typu backdoor

Badacze z firmy zajmującej się cyberbezpieczeństwem Eclypsium odkryli ukryty mechanizm wbudowany w oprogramowanie układowe płyt głównych Gigabyte, które są powszechnie używane w komputerach do gier i komputerach o wysokiej wydajności. Po ponownym uruchomieniu komputera z płytą główną, której dotyczy problem, ten ukryty kod uruchamia program aktualizujący w oprogramowaniu układowym. Następnie program pobiera i uruchamia dodatkowe oprogramowanie na komputerze.

Podczas gdy Gigabyte zamierzał, aby ten ukryty kod służył jako łagodne narzędzie do aktualizacji oprogramowania układowego, Eclypsium stwierdził, że został on zaimplementowany w sposób niezabezpieczony. Stwarza to potencjalną lukę, którą atakujący mogą wykorzystać do zainstalowania złośliwego oprogramowania zamiast oprogramowania zamierzonego przez Gigabyte. Fakt, że program aktualizujący jest inicjowany z oprogramowania sprzętowego komputera, poza systemem operacyjnym, utrudnia użytkownikom wykrycie lub usunięcie.

John Loucaides, lider strategii i badań w Eclypsium, podkreśla obawy, jakie użytkownicy powinni mieć w związku z tym zachowaniem, ponieważ ich maszyny nieświadomie pobierają i uruchamiają kod z Internetu bez odpowiednich środków bezpieczeństwa. Podkreśla, że pomysł przejęcia kontroli nad maszyną użytkownika bez jego udziału jest niepokojący dla większości ludzi.

Setki modeli płyt głównych, których dotyczy problem

W swoim poście na blogu Eclypsium udostępnia listę modeli płyt głównych 271 Gigabyte, które prawdopodobnie zostały dotknięte. Loucaides sugeruje, aby użytkownicy mogli sprawdzić, której płyty głównej używa ich komputer, wchodząc do menu „Start” w systemie Windows i przechodząc do „Informacji o systemie”.

Sama obecność aktualizatora Gigabyte może budzić obawy użytkowników, którzy obawiają się cichej instalacji kodu na swoich maszynach przez producenta, zwłaszcza biorąc pod uwagę ukryty punkt dostępu, który zapewnia on w łańcuchu dostaw oprogramowania. Jednak badania Eclypsium ujawniają, że sam mechanizm aktualizacji ma znaczne luki. Pobiera kod na maszynę użytkownika bez odpowiedniego uwierzytelnienia, czasami przez niezabezpieczone połączenia HTTP zamiast HTTPS. Pozwala to na sfałszowanie źródła instalacji poprzez atak typu „man-in-the-middle”, taki jak przechwycenie połączenia internetowego użytkownika przez nieuczciwą sieć Wi-Fi.

W niektórych przypadkach aktualizator instalowany przez mechanizm oprogramowania układowego Gigabyte jest skonfigurowany do pobierania z lokalnego urządzenia pamięci masowej podłączonego do sieci (NAS), funkcji przeznaczonej głównie dla firm do centralnego administrowania aktualizacjami bez polegania na połączeniach internetowych dla każdej maszyny. Jednak Eclypsium ostrzega, że złośliwi aktorzy w tej samej sieci mogą manipulować lokalizacją NAS, aby potajemnie instalować własne złośliwe oprogramowanie.

Potencjalny wpływ problemu

Odkrycie Eclypsium jest niepokojące ze względu na potencjalny wpływ na miliony urządzeń. Rich Smith, dyrektor ds. bezpieczeństwa w startupie Crash Override zajmującym się cyberbezpieczeństwem w łańcuchu dostaw, uważa, że sytuacja przypomina skandal związany z rootkitami w firmie Sony z połowy 2000 roku. W tym przypadku Sony ukryło kod zarządzania prawami cyfrowymi na płytach CD, który potajemnie instalował się na komputerach użytkowników i tworzył lukę, którą hakerzy wykorzystali do ukrycia swojego złośliwego oprogramowania. Smith rysuje analogię, stwierdzając, że chociaż techniki wykorzystywane przez złośliwe podmioty mogły zostać przyjęte przez Gigabyte, przekraczają one podobną linię w domenie oprogramowania układowego.