Недавно су објављене информације Истраживачи Ецлипсиум су идентификовали аномално понашање у системима са плоче «Гигабите».
Истраживачи помињу да су открили који је користио "УЕФИ фирмвер". на плочама извршио замену и покретање извршне датотеке за Виндовс платформу, све то без обавештавања корисника приликом покретања система. Заузврат, помиње се да је покренута извршна датотека преузета са мреже и да је накнадно покренула извршне датотеке треће стране.
У детаљнијој анализи ситуације показало се да идентично понашање се јавља на стотинама различитих модела Гигабите матичних плоча и повезан је са радом апликације Апп Центер коју је испоручила компанија.
Недавно је платформа Ецлипсиум почела да открива сумњиво понашање у позадини у Гигабите системима у дивљини. Ове детекције су вођене хеуристичким методама детекције, које играју важну улогу у откривању нових и раније непознатих претњи у ланцу снабдевања, где су легитимни производи трећих страна или ажурирања технологије угрожени.
Што се тиче процеса, помиње се дае извршна датотека је уграђена у УЕФИ фирмвер и да се ово чува на диску током процеса иницијализације система при покретању система. У фази покретања драјвера (ДКСЕ, Дривер Екецутион Енвиронмент), користећи модул фирмвера ВпбтДке.ефи, ова датотека се учитава у меморију и уписује у ВПБТ АЦПИ табелу, чији садржај накнадно учитава и извршава администратор. Виндовс сесија менаџер (смсс.еке, подсистем Виндовс менаџер сесија).
Пре учитавања, модул проверава да ли је функција „Преузми и инсталирај АПП Центер“ омогућена у БИОС-у/УЕФИ, пошто је она подразумевано онемогућена. Током покретања на Виндовс страни, код замењује извршну датотеку на систему, која је регистрована као системска услуга.
Наша накнадна анализа је открила да фирмвер на Гигабите системима преузима и покреће изворни Виндовс извршни фајл током процеса покретања система, а овај извршни фајл затим преузима и покреће додатна корисна оптерећења на несигуран начин.
Након покретања услуге ГигабитеУпдатеСервице.еке, ажурирање се преузима са Гигабите сервера, али се то ради без одговарајуће провере преузетих података коришћењем дигиталног потписа и без коришћења шифровања комуникационог канала.
Уз то се помиње да преузимање преко ХТТП-а без шифровања је било дозвољено, али чак и када се приступило преко ХТТПС-а, сертификат није верификован, што је омогућило да датотека буде замењена МИТМ нападима и да се изврши њено извршавање кода на систему корисника.
Чини се да овај бацкдоор намерно имплементира функционалност и захтева ажурирање фирмвера да би се потпуно уклонио са погођених система. Иако наша текућа истрага није потврдила експлоатацију од стране одређеног хакера, широко распрострањена активна позадинска врата коју је тешко елиминисати представља ризик за ланац снабдевања за организације са Гигабите системима.
Да закомпликује ситуацију, потпуно отклањање проблема захтева ажурирање фирмвера, пошто је логика за извршавање кода треће стране уграђена у фирмвер. Као привремена заштита од МИТМ напада на кориснике Гигабите плоче, препоручује се блокирање горњих УРЛ адреса у заштитном зиду.
Гигабите је свестан неприхватљивости присутности у фирмверу таквих несигурних услуга аутоматског ажурирања и насилно интегрисаних у систем, јер компромитовање инфраструктуре компаније или члана ланца снабдевања (ланца снабдевања) може довести до напада на кориснике и организацију, јер у тренутку када се покретање малвера не контролише на нивоу оперативног система.
Као резултат тога, било који актер претње може то да искористи да упорно инфицира рањиве системе, било преко МИТМ-а или угрожене инфраструктуре.
Коначно, ако сте заинтересовани да сазнате више о томе, можете се консултовати са детаљима У следећем линку.