Ja šīs nepilnības tiek izmantotas, uzbrucēji var iegūt nesankcionētu piekļuvi sensitīvai informācijai vai vispār radīt problēmas.
Nesen tika publiskota informācija Eclypsium pētnieki ir identificējuši anomāla uzvedība sistēmās ar plāksnes "Gigabaits".
Pētnieki min, ka viņi atklāja ko izmantoja "UEFI programmaparatūra". uz šķīvjiem veica Windows platformas izpildāmā faila nomaiņu un palaišanu, tas viss, neinformējot lietotāju sistēmas sāknēšanas laikā. Savukārt tiek minēts, ka palaitais izpildāmais fails tika lejupielādēts no tīkla un pēc tam palaida trešās puses izpildāmos failus.
Sīkāk analizējot situāciju, tika parādīts, ka identiska uzvedība notiek simtiem dažādu modeļu Gigabyte mātesplatēm un ir saistīta ar uzņēmuma nodrošinātās App Center lietojumprogrammas darbību.
Nesen platforma Eclypsium sāka atklāt aizdomīgu aizmugures durvju uzvedību Gigabyte sistēmās savvaļā. Šīs noteikšanas veicināja heiristiskās noteikšanas metodes, kurām ir svarīga loma jaunu un iepriekš nezināmu apdraudējumu atklāšanā piegādes ķēdē, kur ir apdraudēti likumīgi trešo pušu produkti vai tehnoloģiju atjauninājumi.
Runājot par procesu, tiek minēts, kae izpildāmais fails ir iekļauts UEFI programmaparatūrā un ka tas tiek saglabāts diskā sistēmas inicializācijas procesa laikā sāknēšanas laikā. Draivera palaišanas stadijā (DXE, Driver Execution Environment), izmantojot programmaparatūras moduli WpbtDxe.efi, šis fails tiek ielādēts atmiņā un ierakstīts WPBT ACPI tabulā, kuras saturu pēc tam ielādē un izpilda administrators. Windows sesija pārvaldnieks (smss.exe, Windows sesiju pārvaldnieka apakšsistēma).
Pirms ielādes modulis pārbauda, vai BIOS/UEFI ir iespējota funkcija "APP Center Download and Install", jo pēc noklusējuma tas ir atspējots. Startēšanas laikā Windows pusē kods aizstāj izpildāmo failu sistēmā, kas ir reģistrēts kā sistēmas pakalpojums.
Mūsu veiktajā analīzē tika konstatēts, ka Gigabyte sistēmu programmaparatūra sistēmas startēšanas procesa laikā lejupielādē un palaiž sākotnējo Windows izpildāmo failu, un šis izpildāmais fails pēc tam lejupielādē un palaiž papildu derīgās slodzes nedrošā veidā.
Pēc pakalpojuma GigabyteUpdateService.exe palaišanas atjauninājums tiek lejupielādēts no Gigabyte serveriem, taču tas tiek darīts bez atbilstošas lejupielādēto datu pārbaudes, izmantojot ciparparakstu un neizmantojot sakaru kanālu šifrēšanu.
Turklāt tiek minēts, ka bija atļauta lejupielāde, izmantojot HTTP bez šifrēšanas, bet pat tad, kad tam tika piekļūts, izmantojot HTTPS, sertifikāts netika pārbaudīts, ļaujot failu aizstāt ar MITM uzbrukumiem un inscenēt tā koda izpildi lietotāja sistēmā.
Šķiet, ka šīs aizmugures durvis ievieš apzinātu funkcionalitāti, un tai būs nepieciešams programmaparatūras atjauninājums, lai to pilnībā noņemtu no ietekmētajām sistēmām. Lai gan mūsu notiekošā izmeklēšana nav apstiprinājusi konkrēta hakera izmantošanu, plaši izplatīta aktīva aizmugures durvis, ko ir grūti novērst, rada piegādes ķēdes risku organizācijām ar Gigabyte sistēmām.
Lai sarežģītu situāciju, Lai pilnībā novērstu problēmu, ir jāatjaunina programmaparatūra, jo programmaparatūrā ir iebūvēta trešās puses koda izpildes loģika. Kā pagaidu aizsardzība pret MITM uzbrukumu Gigabyte plates lietotājiem, ieteicams ugunsmūrī bloķēt augstāk minētos URL.
Gigabyte apzinās nepieņemamību šādu nedrošu automātiskās atjaunināšanas pakalpojumu klātbūtne programmaparatūrā un piespiedu kārtā integrēta sistēmā, jo uzņēmuma vai piegādes ķēdes (piegādes ķēdes) dalībnieka infrastruktūras kompromitēšana var izraisīt uzbrukumus lietotājiem un organizācijai, jo brīdī, kad ļaunprogrammatūras palaišana netiek kontrolēta operētājsistēmas līmenī.
Rezultātā jebkurš apdraudējuma dalībnieks to var izmantot, lai pastāvīgi inficētu neaizsargātas sistēmas, izmantojot MITM vai apdraudētu infrastruktūru.
Visbeidzot, ja jūs interesē uzzināt vairāk par to, varat iepazīties ar informāciju Šajā saitē.