數百種帶有固件後門的技嘉主板型號

網絡安全公司 Eclypsium 的研究人員發現了一種隱藏在技嘉主板固件中的機制，這些主板通常用於遊戲 PC 和高性能計算機。當帶有受影響主板的計算機重新啟動時，此隱藏代碼會觸發固件中的更新程序。隨後，該程序會在計算機上下載並執行其他軟件。

雖然技嘉打算將此隱藏代碼用作固件更新的良性工具，但 Eclypsium 發現它的實現並不安全。這會產生一個潛在的漏洞，攻擊者可以利用該漏洞安裝惡意軟件而不是技嘉的預期軟件。事實上，更新程序是從操作系統之外的計算機固件啟動的，這使得用戶很難檢測到或刪除。

Eclypsium 的戰略和研究負責人 John Loucaides 強調了用戶應該對這種行為感到擔憂，因為他們的機器會在沒有適當安全措施的情況下不知不覺地從互聯網上檢索和運行代碼。他強調，對於大多數人來說，在沒有用戶參與的情況下由底層進程控制用戶機器的想法令人不安。

數百種受影響的主板型號

在他們的博客文章中，Eclypsium 提供了一份據信受到影響的 271 GB 主板型號的列表。 Loucaides 建議用戶可以通過訪問 Windows 中的“開始”菜單並導航至“系統信息”來檢查他們的計算機使用的主板。

技嘉更新程序的存在本身可能會引起用戶的擔憂，他們擔心製造商會在他們的機器上悄悄安裝代碼，特別是考慮到它在軟件供應鏈中提供的隱藏訪問點。然而，Eclypsium 的研究表明更新機製本身存在重大漏洞。它在沒有適當身份驗證的情況下將代碼下載到用戶的機器上，有時是通過不安全的 HTTP 連接而不是 HTTPS。這允許通過中間人攻擊來欺騙安裝源，例如通過流氓 Wi-Fi 網絡攔截用戶的互聯網連接。

在某些情況下，技嘉固件機制安裝的更新程序被配置為從本地網絡附加存儲設備 (NAS) 下載，這一功能主要是為企業設計的，以便在不依賴每台機器的互聯網連接的情況下集中管理更新。然而，Eclypsium 警告說，同一網絡上的惡意行為者可能會操縱 NAS 的位置來偷偷安裝他們自己的惡意軟件。

問題的潛在影響

由於對數百萬設備的潛在影響，Eclypsium 的發現令人不安。專注於供應鏈的網絡安全初創公司 Crash Override 的首席安全官 Rich Smith 發現，這種情況讓人想起 2000 年代中期的索尼 Rootkit 醜聞。在那種情況下，索尼將數字版權管理代碼隱藏在 CD 上，這些代碼秘密地安裝在用戶的計算機上並創建了一個漏洞，黑客可以利用該漏洞來隱藏他們的惡意軟件。 Smith 進行了比較，指出雖然技嘉可能採用了惡意行為者使用的技術，但它在固件領域跨越了類似的界限。