Εάν γίνουν αντικείμενο εκμετάλλευσης, αυτά τα ελαττώματα μπορούν να επιτρέψουν στους εισβολείς να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητες πληροφορίες ή γενικά να προκαλέσουν προβλήματα
Πρόσφατα δόθηκαν στη δημοσιότητα πληροφορίες Οι ερευνητές του Eclypsium έχουν εντοπίσει ανώμαλη συμπεριφορά σε συστήματα με πινακίδες «Gigabyte».
Οι ερευνητές αναφέρουν ότι εντόπισαν που χρησιμοποιούσε το "υλικολογισμικό UEFI". στα πιάτα πραγματοποίησε την αντικατάσταση και εκκίνηση του εκτελέσιμου αρχείου για την πλατφόρμα των Windows, όλα αυτά χωρίς ενημέρωση του χρήστη κατά την εκκίνηση του συστήματος. Με τη σειρά του, αναφέρεται ότι το εκτελέσιμο αρχείο που εκκινήθηκε έγινε λήψη από το δίκτυο και ότι στη συνέχεια εκτόξευσε εκτελέσιμα αρχεία τρίτων.
Σε μια λεπτομερέστερη ανάλυση της κατάστασης, φάνηκε ότι η ίδια συμπεριφορά εμφανίζεται σε εκατοντάδες διαφορετικά μοντέλα μητρικών Gigabyte και σχετίζεται με τη λειτουργία της εφαρμογής App Center που παρέχει η εταιρεία.
Πρόσφατα, η πλατφόρμα Eclypsium άρχισε να ανιχνεύει ύποπτη συμπεριφορά backdoor εντός συστημάτων Gigabyte στην άγρια φύση. Αυτές οι ανιχνεύσεις βασίστηκαν σε ευρετικές μεθόδους ανίχνευσης, οι οποίες διαδραματίζουν σημαντικό ρόλο στον εντοπισμό νέων και προηγουμένως άγνωστων απειλών στην αλυσίδα εφοδιασμού, όπου έχουν παραβιαστεί νόμιμα προϊόντα τρίτων ή ενημερώσεις τεχνολογίας.
Σχετικά με τη διαδικασία αναφέρεται ότιe το εκτελέσιμο αρχείο είναι ενσωματωμένο στο υλικολογισμικό UEFI και ότι αυτό είναι αποθηκευμένο στο δίσκο κατά τη διαδικασία προετοιμασίας του συστήματος κατά την εκκίνηση. Στο στάδιο εκκίνησης του προγράμματος οδήγησης (DXE, Περιβάλλον εκτέλεσης προγράμματος οδήγησης), χρησιμοποιώντας τη μονάδα υλικολογισμικού WpbtDxe.efi, αυτό το αρχείο φορτώνεται στη μνήμη και γράφεται στον πίνακα WPBT ACPI, τα περιεχόμενα του οποίου στη συνέχεια φορτώνονται και εκτελούνται από τον διαχειριστή. διαχειριστής ( smss.exe, υποσύστημα διαχείρισης συνεδριών Windows).
Πριν από τη φόρτωση, η λειτουργική μονάδα ελέγχει ότι η δυνατότητα "Λήψη και εγκατάσταση Κέντρου εφαρμογής" ήταν ενεργοποιημένη στο BIOS/UEFI, καθώς από προεπιλογή είναι απενεργοποιημένη. Κατά την εκκίνηση από την πλευρά των Windows, ο κώδικας αντικαθιστά το εκτελέσιμο αρχείο στο σύστημα, το οποίο είναι καταχωρημένο ως υπηρεσία συστήματος.
Η περαιτέρω ανάλυσή μας διαπίστωσε ότι το υλικολογισμικό στα συστήματα Gigabyte κατεβάζει και εκτελεί ένα εγγενές εκτελέσιμο Windows κατά τη διαδικασία εκκίνησης του συστήματος και αυτό το εκτελέσιμο στη συνέχεια κατεβάζει και εκτελεί πρόσθετα ωφέλιμα φορτία με μη ασφαλή τρόπο.
Μετά την εκκίνηση της υπηρεσίας GigabyteUpdateService.exe, η ενημέρωση γίνεται λήψη από τους διακομιστές Gigabyte, αλλά αυτό γίνεται χωρίς σωστή επαλήθευση των ληφθέντων δεδομένων με χρήση ψηφιακής υπογραφής και χωρίς χρήση κρυπτογράφησης καναλιών επικοινωνίας.
Επιπλέον, αναφέρεται ότι επιτρεπόταν η λήψη μέσω HTTP χωρίς κρυπτογράφηση, αλλά ακόμη και όταν προσπελάστηκε μέσω HTTPS, το πιστοποιητικό δεν επαληθεύτηκε, επιτρέποντας στο αρχείο να αντικατασταθεί από επιθέσεις MITM και να σταδώσει την εκτέλεση του κώδικα στο σύστημα του χρήστη.
Αυτή η κερκόπορτα φαίνεται να εφαρμόζει σκόπιμη λειτουργικότητα και θα απαιτούσε μια ενημέρωση υλικολογισμικού για την πλήρη κατάργησή της από τα επηρεαζόμενα συστήματα. Ενώ η συνεχιζόμενη έρευνά μας δεν έχει επιβεβαιώσει την εκμετάλλευση από συγκεκριμένο χάκερ, μια ευρέως διαδεδομένη ενεργή κερκόπορτα που είναι δύσκολο να εξαλειφθεί αντιπροσωπεύει κίνδυνο αλυσίδας εφοδιασμού για οργανισμούς με συστήματα Gigabyte.
Για να περιπλέξει την κατάσταση, Η πλήρης εξάλειψη του προβλήματος απαιτεί ενημέρωση υλικολογισμικού, αφού η λογική για την εκτέλεση κώδικα τρίτων είναι ενσωματωμένη στο υλικολογισμικό. Ως προσωρινή προστασία έναντι επίθεσης MITM σε χρήστες πλακέτας Gigabyte, συνιστάται ο αποκλεισμός των παραπάνω διευθύνσεων URL στο τείχος προστασίας.
Η Gigabyte γνωρίζει το απαράδεκτο της παρουσίας στο υλικολογισμικό τέτοιων ανασφαλών υπηρεσιών αυτόματης ενημέρωσης και βίαια ενσωματωμένων στο σύστημα, καθώς η υποδομή της εταιρείας ή ενός μέλους της αλυσίδας εφοδιασμού (εφοδιαστική αλυσίδα) μπορεί να οδηγήσει σε επιθέσεις στους χρήστες και τον οργανισμό, καθώς τη στιγμή που η εκκίνηση κακόβουλου λογισμικού δεν ελέγχεται σε επίπεδο λειτουργικού συστήματος.
Ως αποτέλεσμα, οποιοσδήποτε παράγοντας απειλής μπορεί να το χρησιμοποιήσει για να μολύνει επίμονα ευάλωτα συστήματα, είτε μέσω MITM είτε μέσω μιας παραβιασμένης υποδομής.
Τέλος, εάν ενδιαφέρεστε να μάθετε περισσότερα σχετικά, μπορείτε να συμβουλευτείτε τις λεπτομέρειες Στον ακόλουθο σύνδεσμο.