Истражувачите открија „задни врати“ на матичните плочи од Gigabyte

Даркризт Ажурирано

Нема коментари

ранливост

Доколку се искористат, овие недостатоци може да им овозможат на напаѓачите да добијат неовластен пристап до чувствителни информации или генерално да предизвикаат проблеми

Неодамна беа објавени информации Истражувачите на еклипсијата идентификуваа аномално однесување во системи со плочи „Гигабајт“.

Истражувачите споменуваат дека откриле што го користеше „УЕФИ фирмверот“. на чиниите изврши замена и стартување на извршната датотека за платформата Windows, сето ова без да се информира корисникот при стартување на системот. За возврат, се споменува дека стартуваната извршна датотека била преземена од мрежата и дека последователно лансирала извршни датотеки од трети страни.

Во подетална анализа на состојбите се покажа дека идентично однесување се јавува на стотици различни модели на Gigabyte матични плочи и е поврзан со работата на апликацијата App Center обезбедена од компанијата.

Неодамна, платформата Eclypsium почна да открива сомнително однесување на задна врата во системите на Gigabyte во дивината. Овие откривања беа водени од хеуристички методи за откривање, кои играат важна улога во откривањето на нови и претходно непознати закани во синџирот на снабдување, каде што се загрозени легитимните производи од трети страни или ажурирањата на технологијата.

Во однос на процесот се споменува декад извршната датотека е вградена во фирмверот на UEFI и дека ова е зачувано на дискот за време на процесот на иницијализација на системот при подигање. Во фазата на стартување на драјверот (DXE, опкружување за извршување на драјверот), користејќи го модулот за фирмвер WpbtDxe.efi, оваа датотека се вчитува во меморијата и се запишува во табелата WPBT ACPI, чија содржина последователно се вчитува и извршува од администраторот. Сесија на Windows менаџер ( smss.exe, потсистем за менаџер на сесии на Windows).

Пред да се вчита, модулот проверува дали функцијата „Преземи и инсталирај центар на АПП“ е овозможена во BIOS/UEFI, бидејќи стандардно ова е оневозможено. За време на стартувањето на страната на Windows, кодот ја заменува извршната датотека на системот, која е регистрирана како системска услуга.

Нашата последователна анализа покажа дека фирмверот на системите Gigabyte презема и работи изворна извршна датотека на Windows за време на процесот на стартување на системот, а оваа извршна датотека потоа презема и извршува дополнителни товари на небезбеден начин.

По вклучувањето на услугата GigabyteUpdateService.exe, ажурирањето се презема од серверите на Gigabyte, но тоа се прави без соодветна потврда на преземените податоци со помош на дигитален потпис и без користење на шифрирање на каналот за комуникација.

Во продолжение се споменува дека беше дозволено преземање преку HTTP без шифрирање, но дури и кога се пристапи преку HTTPS, сертификатот не беше потврден, што овозможуваше датотеката да се замени со MITM напади и да го исценира извршувањето на кодот на системот на корисникот.

Се чини дека оваа задна врата имплементира намерна функционалност и ќе бара ажурирање на фирмверот за целосно да се отстрани од засегнатите системи. Иако нашата тековна истрага не ја потврди експлоатацијата од специфичен хакер, широко распространетата активна задна врата што е тешко да се елиминира претставува ризик од синџирот на снабдување за организациите со Gigabyte системи. 

За да се искомплицира ситуацијата, целосното отстранување на проблемот бара ажурирање на фирмверот, бидејќи логиката за извршување на код од трета страна е вградена во фирмверот. Како привремена заштита од MITM напад на корисниците на таблата Gigabyte, се препорачува блокирање на горенаведените URL-адреси во заштитниот ѕид.

Gigabyte е свесен за недозволивоста на присуството во фирмверот на такви небезбедни услуги за автоматско ажурирање и насилно интегрирани во системот, бидејќи компромитирањето на инфраструктурата на компанијата или член на синџирот на снабдување (синџирот на снабдување) може да доведе до напади врз корисниците и организацијата, бидејќи на моментот кога лансирањето на малициозен софтвер не е контролирано на ниво на оперативен систем.

Како резултат на тоа, секој актер на закана може да го користи ова за постојано да заразува ранливи системи, било преку MITM или преку компромитирана инфраструктура.

Конечно, ако сте заинтересирани да знаете повеќе за тоа, можете да се консултирате со деталите На следниот линк.


Содржината на статијата се придржува до нашите принципи на уредничка етика. За да пријавите грешка, кликнете овде.

Биди прв да коментираш

Оставете го вашиот коментар

Вашата е-маил адреса нема да бидат објавени. Задолжителни полиња се означени со *

*

*

  1. Одговорен за податоците: Мигел Анхел Гатон
  2. Цел на податоците: Контролирајте СПАМ, управување со коментари.
  3. Легитимација: Ваша согласност
  4. Комуникација на податоците: Податоците нема да бидат соопштени на трети лица освен со законска обврска.
  5. Складирање на податоци: База на податоци хостирани од Occentus Networks (ЕУ)
  6. Права: Во секое време можете да ги ограничите, вратите и избришете вашите информации.