Ако бъдат използвани, тези пропуски могат да позволят на нападателите да получат неоторизиран достъп до чувствителна информация или като цяло да причинят проблеми
Наскоро беше разпространена информация Изследователите на Eclypsium са идентифицирали аномално поведение в системи с плочи «Gigabyte».
Изследователите споменават, че са открили че използваният „фърмуер на UEFI“. върху чиниите извърши подмяната и стартирането на изпълнимия файл за платформата Windows, всичко това, без да информира потребителя по време на зареждане на системата. На свой ред се споменава, че стартираният изпълним файл е бил изтеглен от мрежата и че впоследствие е стартирал изпълними файлове на трети страни.
При по-детайлен анализ на ситуацията се оказа, че идентично поведение се среща при стотици различни модели на дънни платки Gigabyte и е свързано с работата на предоставеното от компанията приложение App Center.
Наскоро платформата Eclypsium започна да открива подозрително поведение на задната вратичка в системите на Gigabyte в природата. Тези откривания се управляват от евристични методи за откриване, които играят важна роля при откриването на нови и неизвестни преди заплахи във веригата на доставки, където са били компрометирани законни продукти на трети страни или технологични актуализации.
По отношение на процеса се споменава, чеe изпълнимият файл е включен във фърмуера на UEFI и че това се съхранява на диск по време на процеса на инициализация на системата по време на зареждане. На етапа на стартиране на драйвера (DXE, Driver Execution Environment), използвайки фърмуерния модул WpbtDxe.efi, този файл се зарежда в паметта и се записва в WPBT ACPI таблицата, чието съдържание впоследствие се зарежда и изпълнява от администратора. мениджър (smss.exe, подсистема за управление на сесии на Windows).
Преди зареждане модулът проверява дали функцията „Изтегляне и инсталиране на APP Center“ е била активирана в BIOS/UEFI, тъй като по подразбиране това е деактивирано. По време на стартиране от страна на Windows кодът замества изпълнимия файл в системата, който е регистриран като системна услуга.
Нашият последващ анализ установи, че фърмуерът на системите на Gigabyte изтегля и изпълнява собствен изпълним файл на Windows по време на процеса на стартиране на системата и този изпълним файл след това изтегля и изпълнява допълнителни полезни натоварвания по несигурен начин.
След стартиране на услугата GigabyteUpdateService.exe, актуализацията се изтегля от сървърите на Gigabyte, но това става без подходяща проверка на изтеглените данни с помощта на цифров подпис и без използване на криптиране на комуникационния канал.
Освен това се споменава, че изтеглянето чрез HTTP без криптиране беше разрешено, но дори когато е достъпен чрез HTTPS, сертификатът не е проверен, което позволява файлът да бъде заменен от MITM атаки и да се организира изпълнението на неговия код в системата на потребителя.
Тази задна вратичка изглежда прилага умишлено функционалност и ще изисква актуализация на фърмуера, за да я премахне напълно от засегнатите системи. Въпреки че текущото ни разследване не е потвърдило експлоатация от конкретен хакер, широко разпространена активна задна врата, която е трудна за премахване, представлява риск за веригата за доставки за организации със системи на Gigabyte.
За да усложни ситуацията, пълното отстраняване на проблема изисква актуализация на фърмуера, тъй като логиката за изпълнение на код на трета страна е вградена във фърмуера. Като временна защита срещу MITM атака на потребители на платка Gigabyte се препоръчва да блокирате горните URL адреси в защитната стена.
Gigabyte е наясно с недопустимостта на наличието във фърмуера на такива несигурни услуги за автоматично актуализиране и насилствено интегрирани в системата, тъй като компрометирането на инфраструктурата на компанията или член на веригата за доставки (веригата за доставки) може да доведе до атаки срещу потребителите и организацията, тъй като при момент стартирането на зловреден софтуер не се контролира на ниво операционна система.
В резултат на това всеки участник в заплаха може да използва това, за да заразява постоянно уязвими системи, или чрез MITM, или чрез компрометирана инфраструктура.
И накрая, ако имате интерес да научите повече за него, можете да се консултирате с подробностите В следващия линк.