إذا تم استغلالها ، يمكن أن تسمح هذه العيوب للمهاجمين بالوصول غير المصرح به إلى المعلومات الحساسة أو التسبب بشكل عام في حدوث مشكلات
في الآونة الأخيرة ، تم نشر المعلومات حدد باحثو Eclypsium السلوك الشاذ في الأنظمة ذات لوحات «جيجا بايت».
ذكر الباحثون أنهم اكتشفوا أن "البرامج الثابتة UEFI" المستخدمة على الأطباق إجراء استبدال وتشغيل الملف القابل للتنفيذ لمنصة Windows ، كل هذا دون إبلاغ المستخدم أثناء تمهيد النظام. في المقابل ، يُذكر أنه تم تنزيل الملف القابل للتنفيذ الذي تم إطلاقه من الشبكة وأنه أطلق لاحقًا ملفات تنفيذية تابعة لجهات خارجية.
في تحليل أكثر تفصيلا للوضع ، تبين أن يحدث نفس السلوك في مئات النماذج المختلفة للوحات جيجابايت الأم ويرتبط بتشغيل تطبيق App Center الذي توفره الشركة.
في الآونة الأخيرة ، بدأت منصة Eclypsium في الكشف عن سلوك الباب الخلفي المشبوه داخل أنظمة Gigabyte في البرية. كانت هذه الاكتشافات مدفوعة بأساليب الكشف الإرشادية ، والتي تلعب دورًا مهمًا في اكتشاف التهديدات الجديدة وغير المعروفة سابقًا في سلسلة التوريد ، حيث تم اختراق منتجات الجهات الخارجية المشروعة أو تحديثات التكنولوجيا.
فيما يتعلق بالعملية ، ذكر ذلكه تم دمج الملف القابل للتنفيذ في البرنامج الثابت UEFI وأن يتم تخزين هذا على القرص أثناء عملية تهيئة النظام في وقت التمهيد. في مرحلة تشغيل برنامج التشغيل (DXE ، بيئة تنفيذ برنامج التشغيل) ، باستخدام وحدة البرنامج الثابت WpbtDxe.efi ، يتم تحميل هذا الملف في الذاكرة وكتابته في جدول WPBT ACPI ، والذي يتم تحميل محتوياته وتنفيذها لاحقًا بواسطة المسؤول. جلسة Windows manager (smss.exe ، النظام الفرعي لمدير جلسة Windows).
قبل التحميل ، تتحقق الوحدة من تمكين ميزة "APP Center Download and Install" في BIOS / UEFI ، حيث يتم تعطيل هذا افتراضيًا. أثناء بدء التشغيل من جانب Windows ، يحل الرمز محل الملف القابل للتنفيذ على النظام ، والذي تم تسجيله كخدمة نظام.
وجد تحليل المتابعة الخاص بنا أن البرامج الثابتة على أنظمة جيجابايت تقوم بتنزيل وتشغيل Windows أصلي قابل للتنفيذ أثناء عملية بدء تشغيل النظام ، وهذا الملف القابل للتنفيذ ثم يقوم بتنزيل وتشغيل حمولات إضافية بطريقة غير آمنة.
بعد بدء تشغيل خدمة GigabyteUpdateService.exe ، يتم تنزيل التحديث من خوادم Gigabyte ، ولكن يتم ذلك دون التحقق الصحيح من البيانات التي تم تنزيلها باستخدام التوقيع الرقمي ودون استخدام تشفير قناة الاتصال.
بالإضافة إلى ذلك يذكر أن تم السماح بالتنزيل عبر HTTP بدون تشفير ، ولكن حتى عند الوصول إليها عبر HTTPS ، لم يتم التحقق من الشهادة ، مما يسمح باستبدال الملف بهجمات MITM وتنظيم تنفيذ الكود الخاص به على نظام المستخدم.
يبدو أن هذا الباب الخلفي يقوم بتنفيذ وظائف مقصودة وسيتطلب تحديثًا للبرامج الثابتة لإزالته تمامًا من الأنظمة المتأثرة. على الرغم من أن تحقيقنا المستمر لم يؤكد الاستغلال من قبل متسلل معين ، فإن الباب الخلفي النشط على نطاق واسع والذي يصعب القضاء عليه يمثل خطرًا على سلسلة التوريد للمؤسسات التي لديها أنظمة جيجابايت.
لتعقيد الوضع ، القضاء التام على المشكلة يتطلب تحديث البرامج الثابتة، نظرًا لأن منطق تنفيذ التعليمات البرمجية الخاصة بطرف ثالث مدمج في البرنامج الثابت. كحماية مؤقتة ضد هجوم MITM على مستخدمي لوحة Gigabyte ، يوصى بحظر عناوين URL أعلاه في جدار الحماية.
Gigabyte تدرك عدم المقبولية من التواجد في البرامج الثابتة لخدمات التحديث التلقائي غير الآمنة والمدمجة بالقوة في النظام ، نظرًا لأن اختراق البنية التحتية للشركة أو أحد أعضاء سلسلة التوريد (سلسلة التوريد) يمكن أن يؤدي إلى هجمات على المستخدمين والمؤسسة ، منذ لحظة إطلاق البرامج الضارة لا يتم التحكم فيها على مستوى نظام التشغيل.
نتيجة لذلك ، يمكن لأي جهة تهديد استخدام هذا لإصابة الأنظمة الضعيفة باستمرار ، إما من خلال MITM أو البنية التحتية المعرضة للخطر.
أخيرًا ، إذا كنت مهتمًا بمعرفة المزيد عنها ، يمكنك الرجوع إلى التفاصيل في الرابط التالي.