यदि शोषण किया जाता है, तो ये खामियां हमलावरों को संवेदनशील जानकारी तक अनधिकृत पहुंच प्राप्त करने की अनुमति दे सकती हैं या आम तौर पर समस्याएं पैदा कर सकती हैं
हाल ही में, जानकारी जारी की गई थी Eclypsium शोधकर्ताओं ने पहचान की है के साथ सिस्टम में विषम व्यवहार प्लेटें «गीगाबाइट».
शोधकर्ताओं का उल्लेख है कि उन्होंने पता लगाया कि "UEFI फर्मवेयर" का उपयोग किया जाता है प्लेटों पर विंडोज प्लेटफॉर्म के लिए निष्पादन योग्य फ़ाइल के प्रतिस्थापन और लॉन्च का प्रदर्शन किया, सिस्टम स्टार्टअप के दौरान उपयोगकर्ता को सूचित किए बिना यह सब। बदले में, यह उल्लेख किया गया है कि लॉन्च किए गए निष्पादन योग्य को नेटवर्क से डाउनलोड किया गया था और बाद में उसने तीसरे पक्ष के निष्पादन योग्य लॉन्च किए।
स्थिति के अधिक विस्तृत विश्लेषण में, यह दिखाया गया था सैकड़ों विभिन्न मॉडलों पर समान व्यवहार होता है गीगाबाइट मदरबोर्ड का और कंपनी द्वारा आपूर्ति किए गए ऐप सेंटर एप्लिकेशन के संचालन से जुड़ा है।
हाल ही में, Eclypsium प्लेटफॉर्म ने जंगली में गीगाबाइट सिस्टम के भीतर संदिग्ध बैकडोर व्यवहार का पता लगाना शुरू किया। ये पता लगाने के लिए हेयुरिस्टिक डिटेक्शन मेथड्स द्वारा संचालित किया गया था, जो आपूर्ति श्रृंखला में नए और पहले के अज्ञात खतरों का पता लगाने में महत्वपूर्ण भूमिका निभाते हैं, जहां वैध तृतीय-पक्ष उत्पादों या तकनीकी अपडेट से समझौता किया गया है।
प्रक्रिया के संबंध में बताया गया है किई निष्पादन योग्य फ़ाइल को यूईएफआई फर्मवेयर में शामिल किया गया है और यह डिस्क पर संग्रहीत है बूट समय पर सिस्टम आरंभीकरण प्रक्रिया के दौरान। WpbtDxe.efi फर्मवेयर मॉड्यूल का उपयोग करते हुए ड्राइवर लॉन्च स्टेज (DXE, ड्राइवर निष्पादन पर्यावरण) पर, इस फाइल को मेमोरी में लोड किया जाता है और WPBT ACPI तालिका में लिखा जाता है, जिसकी सामग्री बाद में प्रशासक द्वारा लोड और निष्पादित की जाती है। प्रबंधक ( smss.exe, Windows सत्र प्रबंधक सबसिस्टम)।
लोड करने से पहले, मॉड्यूल जांचता है कि BIOS/UEFI में "एपीपी केंद्र डाउनलोड और इंस्टॉल" सुविधा सक्षम थी, क्योंकि डिफ़ॉल्ट रूप से यह अक्षम है। विंडोज़ पक्ष पर स्टार्टअप के दौरान, कोड निष्पादन योग्य फ़ाइल को सिस्टम पर बदल देता है, जो सिस्टम सेवा के रूप में पंजीकृत है।
हमारे अनुवर्ती विश्लेषण में पाया गया कि गीगाबाइट सिस्टम पर फर्मवेयर सिस्टम स्टार्टअप प्रक्रिया के दौरान एक मूल विंडोज निष्पादन योग्य को डाउनलोड और चला रहा है, और यह निष्पादन योग्य फिर असुरक्षित तरीके से अतिरिक्त पेलोड को डाउनलोड और चलाता है।
GigabyteUpdateService.exe सेवा शुरू करने के बाद, गीगाबाइट सर्वर से अद्यतन डाउनलोड किया जाता है, लेकिन यह डिजिटल हस्ताक्षर का उपयोग करके और संचार चैनल एन्क्रिप्शन का उपयोग किए बिना डाउनलोड किए गए डेटा के उचित सत्यापन के बिना किया जाता है।
इसके अलावा, यह उल्लेख किया गया है कि एन्क्रिप्शन के बिना HTTP के माध्यम से डाउनलोड करने की अनुमति थी, लेकिन HTTPS के माध्यम से एक्सेस करने पर भी, प्रमाणपत्र सत्यापित नहीं किया गया था, जिससे फ़ाइल को MITM हमलों द्वारा प्रतिस्थापित किया जा सके और उपयोगकर्ता के सिस्टम पर इसके कोड निष्पादन को चरणबद्ध किया जा सके।
ऐसा लगता है कि यह बैकडोर जानबूझकर कार्यक्षमता को लागू कर रहा है और इसे प्रभावित सिस्टम से पूरी तरह से हटाने के लिए फर्मवेयर अपडेट की आवश्यकता होगी। जबकि हमारी चल रही जांच ने किसी विशिष्ट हैकर द्वारा शोषण की पुष्टि नहीं की है, एक व्यापक सक्रिय बैकडोर जिसे खत्म करना मुश्किल है, गीगाबाइट सिस्टम वाले संगठनों के लिए आपूर्ति श्रृंखला जोखिम का प्रतिनिधित्व करता है।
स्थिति को जटिल करने के लिए, समस्या के पूर्ण उन्मूलन के लिए फर्मवेयर अपडेट की आवश्यकता होती है, चूंकि तृतीय-पक्ष कोड निष्पादित करने का तर्क फर्मवेयर में बनाया गया है। गीगाबाइट बोर्ड उपयोगकर्ताओं पर MITM हमले के खिलाफ एक अस्थायी सुरक्षा के रूप में, फ़ायरवॉल में उपरोक्त URL को ब्लॉक करने की अनुशंसा की जाती है।
गीगाबाइट अस्वीकार्यता से अवगत है ऐसी असुरक्षित स्वचालित अद्यतन सेवाओं के फर्मवेयर में उपस्थिति और जबरन सिस्टम में एकीकृत, कंपनी के बुनियादी ढांचे या आपूर्ति श्रृंखला (आपूर्ति श्रृंखला) के एक सदस्य से समझौता करने से उपयोगकर्ताओं और संगठन पर हमले हो सकते हैं, क्योंकि पल में मैलवेयर का लॉन्च ऑपरेटिंग सिस्टम स्तर पर नियंत्रित नहीं होता है।
नतीजतन, कोई भी खतरा कारक इसका उपयोग कमजोर प्रणालियों को लगातार संक्रमित करने के लिए कर सकता है, या तो MITM या एक समझौता किए गए बुनियादी ढांचे के माध्यम से।
अंत में, यदि आप इसके बारे में अधिक जानने में रुचि रखते हैं, तो आप विवरण देख सकते हैं निम्नलिखित लिंक में