Сотни моделей материнских плат Gigabyte поставляются с бэкдором прошивки

Исследователи из компании по кибербезопасности Eclypsium обнаружили скрытый механизм, встроенный в прошивку материнских плат Gigabyte, которые обычно используются в игровых ПК и высокопроизводительных компьютерах. Когда компьютер с поврежденной материнской платой перезагружается, этот скрытый код запускает программу обновления встроенного ПО. Впоследствии программа загружает и запускает на компьютере дополнительное программное обеспечение.

В то время как Gigabyte намеревалась использовать этот скрытый код в качестве удобного инструмента для обновления прошивки, Eclypsium обнаружила, что он был реализован небезопасно. Это создает потенциальную уязвимость, которую злоумышленники могут использовать для установки вредоносного ПО вместо предполагаемого программного обеспечения Gigabyte. Тот факт, что программа обновления запускается из микропрограммы компьютера вне операционной системы, затрудняет обнаружение или удаление пользователями.

Джон Лукайдес, руководитель отдела стратегии и исследований в Eclypsium, подчеркивает обеспокоенность пользователей по поводу такого поведения, поскольку их машины неосознанно извлекают и запускают код из Интернета без надлежащих мер безопасности. Он подчеркивает, что идея о том, что какой-то базовый процесс получает контроль над машиной пользователя без его участия, вызывает беспокойство у большинства людей.

Сотни затронутых моделей материнских плат

В своем блоге Eclypsium предоставляет список моделей материнских плат 271 Gigabyte, которые, как считается, затронуты. Лукаидес предлагает, чтобы пользователи могли проверить, какую материнскую плату использует их компьютер, войдя в меню «Пуск» в Windows и перейдя в «Информация о системе».

Само по себе наличие программы обновления Gigabyte может вызвать опасения у пользователей, опасающихся, что производитель автоматически установит код на свои машины, особенно учитывая скрытую точку доступа, которую он предоставляет в цепочке поставок программного обеспечения. Однако исследования Eclypsium показывают, что сам механизм обновления имеет значительные уязвимости. Он загружает код на компьютер пользователя без надлежащей аутентификации, иногда по незащищенным соединениям HTTP вместо HTTPS. Это позволяет подделать источник установки с помощью атаки «человек посередине», например, путем перехвата интернет-соединения пользователя через мошенническую сеть Wi-Fi.

В некоторых случаях средство обновления, устанавливаемое механизмом встроенного ПО Gigabyte, настроено на загрузку с локального сетевого устройства хранения данных (NAS), функция, в первую очередь предназначенная для предприятий, чтобы централизованно администрировать обновления, не полагаясь на подключение к Интернету для каждой машины. Однако Eclypsium предупреждает, что злоумышленники в той же сети могут манипулировать местоположением NAS, чтобы тайно установить собственное вредоносное ПО.

Потенциальное влияние проблемы

Открытие Eclypsium вызывает беспокойство из-за потенциального воздействия на миллионы устройств. Рич Смит, директор по безопасности стартапа Crash Override, специализирующегося на кибербезопасности, считает ситуацию напоминающей скандал с руткитами Sony в середине 2000-х годов. В этом случае Sony скрыла код управления цифровыми правами на компакт-дисках, который тайно устанавливался на компьютеры пользователей и создавал уязвимость, которую хакеры использовали для сокрытия своих вредоносных программ. Смит проводит параллель, заявляя, что, хотя методы, используемые злоумышленниками, могли быть приняты Gigabyte, они пересекают аналогичную черту в области прошивки.