数百种带有固件后门的技嘉主板型号

网络安全公司 Eclypsium 的研究人员发现了一种隐藏在技嘉主板固件中的机制，这些主板通常用于游戏 PC 和高性能计算机。当带有受影响主板的计算机重新启动时，此隐藏代码会触发固件中的更新程序。随后，该程序会在计算机上下载并执行其他软件。

虽然技嘉打算将此隐藏代码用作固件更新的良性工具，但 Eclypsium 发现它的实现并不安全。这会产生一个潜在的漏洞，攻击者可以利用该漏洞安装恶意软件而不是技嘉的预期软件。事实上，更新程序是从操作系统之外的计算机固件启动的，这使得用户很难检测到或删除。

Eclypsium 的战略和研究负责人 John Loucaides 强调了用户应该对这种行为感到担忧，因为他们的机器会在没有适当安全措施的情况下不知不觉地从互联网上检索和运行代码。他强调，对于大多数人来说，在没有用户参与的情况下由底层进程控制用户机器的想法令人不安。

数百种受影响的主板型号

在他们的博客文章中，Eclypsium 提供了一份据信受到影响的 271 GB 主板型号的列表。 Loucaides 建议用户可以通过访问 Windows 中的“开始”菜单并导航至“系统信息”来检查他们的计算机使用的主板。

技嘉更新程序的存在本身可能会引起用户的担忧，他们担心制造商会在他们的机器上悄悄安装代码，特别是考虑到它在软件供应链中提供的隐藏访问点。然而，Eclypsium 的研究表明更新机制本身存在重大漏洞。它在没有适当身份验证的情况下将代码下载到用户的机器上，有时是通过不安全的 HTTP 连接而不是 HTTPS。这允许通过中间人攻击来欺骗安装源，例如通过流氓 Wi-Fi 网络拦截用户的互联网连接。

在某些情况下，技嘉固件机制安装的更新程序被配置为从本地网络附加存储设备 (NAS) 下载，这一功能主要是为企业设计的，以便在不依赖每台机器的互联网连接的情况下集中管理更新。然而，Eclypsium 警告说，同一网络上的恶意行为者可能会操纵 NAS 的位置来偷偷安装他们自己的恶意软件。

问题的潜在影响

由于对数百万设备的潜在影响，Eclypsium 的发现令人不安。专注于供应链的网络安全初创公司 Crash Override 的首席安全官 Rich Smith 发现，这种情况让人想起 2000 年代中期的索尼 Rootkit 丑闻。在那种情况下，索尼将数字版权管理代码隐藏在 CD 上，这些代码秘密地安装在用户的计算机上并创建了一个漏洞，黑客可以利用该漏洞来隐藏他们的恶意软件。 Smith 进行了比较，指出虽然技嘉可能采用了恶意行为者使用的技术，但它在固件领域跨越了类似的界限。