Hvis de utnyttes, kan disse feilene tillate angripere å få uautorisert tilgang til sensitiv informasjon eller generelt forårsake problemer
Nylig ble det gitt ut informasjon Eclypsium-forskere har identifisert unormal oppførsel i systemer med plater «Gigabyte».
Forskerne nevner at de oppdaget som "UEFI-fastvaren" brukte på platene utførte erstatningen og lanseringen av den kjørbare filen for Windows-plattformen, alt dette uten å informere brukeren under systemoppstart. På sin side nevnes det at den lanserte kjørbare filen ble lastet ned fra nettverket og at den deretter lanserte tredjeparts kjørbare filer.
I en mer detaljert analyse av situasjonen ble det vist at identisk oppførsel forekommer på hundrevis av forskjellige modeller av Gigabyte hovedkort og er knyttet til driften av selskapets App Center-applikasjon.
Nylig begynte Eclypsium-plattformen å oppdage mistenkelig bakdøradferd i Gigabyte-systemer i naturen. Disse deteksjonene ble drevet av heuristiske deteksjonsmetoder, som spiller en viktig rolle i å oppdage nye og tidligere ukjente trusler i forsyningskjeden, der legitime tredjepartsprodukter eller teknologioppdateringer har blitt kompromittert.
Angående prosessen nevnes det ate den kjørbare filen er integrert i UEFI-fastvaren og at dette er lagret på disk under systeminitieringsprosessen ved oppstart. På driverstartstadiet (DXE, Driver Execution Environment), ved å bruke WpbtDxe.efi-fastvaremodulen, lastes denne filen inn i minnet og skrives til WPBT ACPI-tabellen, hvis innhold deretter lastes inn og kjøres av administratoren. Windows-økt manager (smss.exe, Windows session manager subsystem).
Før lasting sjekker modulen at funksjonen "APP Center Last ned og installer" var aktivert i BIOS/UEFI, da dette er deaktivert som standard. Under oppstart på Windows-siden erstatter koden den kjørbare filen på systemet, som er registrert som en systemtjeneste.
Vår oppfølgingsanalyse fant at fastvaren på Gigabyte-systemer laster ned og kjører en innebygd Windows-kjørbar under oppstartsprosessen, og denne kjørbare filen laster ned og kjører ytterligere nyttelast på en usikker måte.
Etter å ha startet GigabyteUpdateService.exe-tjenesten, lastes oppdateringen ned fra Gigabyte-serverne, men dette gjøres uten riktig verifisering av de nedlastede dataene ved hjelp av en digital signatur og uten bruk av kommunikasjonskanalkryptering.
I tillegg er det nevnt at nedlasting via HTTP uten kryptering var tillatt, men selv når det ble åpnet via HTTPS, ble ikke sertifikatet verifisert, noe som tillot filen å bli erstattet av MITM-angrep og iscenesette dens kodekjøring på brukerens system.
Denne bakdøren ser ut til å implementere tilsiktet funksjonalitet og vil kreve en fastvareoppdatering for å fjerne den fullstendig fra berørte systemer. Mens vår pågående undersøkelse ikke har bekreftet utnyttelse av en spesifikk hacker, representerer en utbredt aktiv bakdør som er vanskelig å eliminere en forsyningskjederisiko for organisasjoner med Gigabyte-systemer.
For å komplisere situasjonen, fullstendig eliminering av problemet krever en fastvareoppdatering, siden logikken for utføring av tredjepartskode er innebygd i fastvaren. Som en midlertidig beskyttelse mot et MITM-angrep på Gigabyte-kortbrukere, anbefales det å blokkere URL-ene ovenfor i brannmuren.
Gigabyte er klar over avvisningen av tilstedeværelsen i fastvaren av slike usikre automatiske oppdateringstjenester og tvangsintegrert i systemet, siden kompromittering av infrastrukturen til selskapet eller et medlem av forsyningskjeden (forsyningskjeden) kan føre til angrep på brukere og organisasjonen, siden ved øyeblikket lanseringen av skadelig programvare ikke kontrolleres på operativsystemnivå.
Som et resultat kan enhver trusselaktør bruke dette til å vedvarende infisere sårbare systemer, enten gjennom MITM eller en kompromittert infrastruktur.
Til slutt, hvis du er interessert i å vite mer om det, kan du se detaljene I den følgende lenken.