Hundratals Gigabyte moderkortsmodeller levereras med firmware bakdörr
Forskare med cybersäkerhetsföretaget Eclypsium upptäckte en hemlig mekanism inbäddad i firmware på Gigabyte-moderkort, som vanligtvis används i speldatorer och högpresterande datorer. När en dator med det berörda moderkortet startar om, utlöser denna dolda kod ett uppdateringsprogram i den fasta programvaran. Därefter laddar programmet ner och kör ytterligare programvara på datorn.
Medan Gigabyte avsåg att denna dolda kod skulle fungera som ett bra verktyg för firmwareuppdateringar, fann Eclypsium att den implementerades osäkert. Detta skapar en potentiell sårbarhet som kan utnyttjas av angripare för att installera skadlig programvara istället för Gigabytes avsedda programvara. Det faktum att uppdateringsprogrammet initieras från datorns firmware, utanför operativsystemet, gör det svårt för användare att upptäcka eller ta bort.
John Loucaides, ledare för strategi och forskning på Eclypsium, lyfter fram den oro som användare bör ha angående detta beteende, eftersom deras maskiner omedvetet hämtar och kör kod från internet utan ordentliga säkerhetsåtgärder. Han betonar att tanken på att en underliggande process tar kontroll över en användares maskin utan deras inblandning är oroande för de flesta.
Hundratals drabbade moderkortsmodeller
I deras blogginlägg ger Eclypsium en lista över 271 Gigabyte moderkortsmodeller som tros vara påverkade. Loucaides föreslår att användare kan kontrollera vilket moderkort deras dator använder genom att gå till "Start"-menyn i Windows och navigera till "Systeminformation".
Närvaron av Gigabytes uppdatering enbart kan ge upphov till oro för användare som är försiktiga med att låta tillverkaren installera kod tyst på sina maskiner, särskilt med tanke på den dolda åtkomstpunkten den tillhandahåller i mjukvaruförsörjningskedjan. Eclypsiums forskning avslöjar dock att själva uppdateringsmekanismen har betydande sårbarheter. Den laddar ner kod till användarens maskin utan korrekt autentisering, ibland över osäkra HTTP-anslutningar istället för HTTPS. Detta gör att installationskällan kan förfalskas genom en man-in-the-middle-attack, som att fånga upp användarens internetanslutning via ett oseriöst Wi-Fi-nätverk.
I vissa fall är uppdateringsprogrammet som installeras av Gigabytes firmware-mekanism konfigurerat för att laddas ner från en lokal nätverksansluten lagringsenhet (NAS), en funktion som främst är utformad för företag att centralt administrera uppdateringar utan att förlita sig på internetanslutningar för varje maskin. Eclypsium varnar dock för att skadliga aktörer på samma nätverk kan manipulera NAS:s plats för att i smyg installera sin egen skadlig programvara.
Möjlig påverkan av problemet
Eclypsiums upptäckt är oroande på grund av den potentiella påverkan på miljontals enheter. Rich Smith, Chief Security Officer för supply-chain-fokuserad cybersäkerhetsstartup Crash Override, tycker att situationen påminner om Sony rootkit-skandalen från mitten av 2000-talet. I det fallet gömde Sony kod för hantering av digitala rättigheter på CD-skivor, som i hemlighet installerade sig på användarnas datorer och skapade en sårbarhet som hackare utnyttjade för att dölja sin skadliga programvara. Smith drar en parallell och säger att även om tekniker som används av illvilliga aktörer kan ha antagits av Gigabyte, så korsar den en liknande gräns i firmwaredomänen.
