หากถูกโจมตี ข้อบกพร่องเหล่านี้อาจทำให้ผู้โจมตีเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต หรือก่อให้เกิดปัญหาโดยทั่วไป
ล่าสุดมีการเปิดเผยข้อมูล นักวิจัยของ Elypsium ได้ระบุ พฤติกรรมที่ผิดปกติในระบบด้วย จาน «กิกะไบต์».
นักวิจัยกล่าวว่าพวกเขาตรวจพบ ที่ใช้ "เฟิร์มแวร์ UEFI" บนจาน ดำเนินการแทนที่และเรียกใช้ไฟล์ปฏิบัติการสำหรับแพลตฟอร์ม Windows ทั้งหมดนี้โดยไม่แจ้งให้ผู้ใช้ทราบระหว่างการเริ่มต้นระบบ ในทางกลับกัน มีการกล่าวถึงว่าโปรแกรมปฏิบัติการที่เปิดใช้งานถูกดาวน์โหลดจากเครือข่าย และต่อมาได้เปิดใช้งานโปรแกรมปฏิบัติการของบุคคลที่สาม
ในการวิเคราะห์สถานการณ์อย่างละเอียดยิ่งขึ้น แสดงให้เห็นว่า พฤติกรรมที่เหมือนกันเกิดขึ้นในรุ่นต่างๆ หลายร้อยรุ่น ของเมนบอร์ด Gigabyte และเชื่อมโยงกับการทำงานของแอปพลิเคชัน App Center ที่บริษัทจัดหาให้
เมื่อเร็ว ๆ นี้ แพลตฟอร์ม Eclypsium เริ่มตรวจพบพฤติกรรมแบ็คดอร์ที่น่าสงสัยภายในระบบ Gigabyte การตรวจจับเหล่านี้ขับเคลื่อนด้วยวิธีการตรวจจับแบบฮิวริสติก ซึ่งมีบทบาทสำคัญในการตรวจจับภัยคุกคามใหม่และที่ไม่รู้จักก่อนหน้านี้ในห่วงโซ่อุปทาน ซึ่งผลิตภัณฑ์หรือการอัปเดตเทคโนโลยีของบุคคลที่สามที่ถูกกฎหมายถูกโจมตี
กล่าวถึงกระบวนการดังกล่าวว่าe ไฟล์เรียกทำงานรวมอยู่ในเฟิร์มแวร์ UEFI และสิ่งนี้ถูกเก็บไว้ในดิสก์ ระหว่างกระบวนการเริ่มต้นระบบในขณะบูต ที่ขั้นตอนการเรียกใช้ไดรเวอร์ (DXE, Driver Execution Environment) โดยใช้โมดูลเฟิร์มแวร์ WpbtDxe.efi ไฟล์นี้จะถูกโหลดลงในหน่วยความจำและเขียนลงในตาราง WPBT ACPI ซึ่งเนื้อหาจะถูกโหลดและดำเนินการโดยผู้ดูแลระบบในภายหลัง เซสชัน Windows ผู้จัดการ ( smss.exe, ระบบย่อยตัวจัดการเซสชันของ Windows)
ก่อนโหลด โมดูลจะตรวจสอบว่าคุณลักษณะ "การดาวน์โหลดและติดตั้งศูนย์แอป" เปิดใช้งานอยู่ใน BIOS/UEFI เนื่องจากค่าเริ่มต้นจะปิดใช้งาน ระหว่างการเริ่มต้นระบบในฝั่ง Windows รหัสจะแทนที่ไฟล์ปฏิบัติการบนระบบซึ่งลงทะเบียนเป็นบริการระบบ
การวิเคราะห์ติดตามผลของเราพบว่าเฟิร์มแวร์บนระบบ Gigabyte กำลังดาวน์โหลดและเรียกใช้งานโปรแกรมปฏิบัติการ Windows แบบเนทีฟในระหว่างกระบวนการเริ่มต้นระบบ จากนั้นโปรแกรมปฏิบัติการนี้จะดาวน์โหลดและเรียกใช้เพย์โหลดเพิ่มเติมในลักษณะที่ไม่ปลอดภัย
หลังจากเริ่มบริการ GigabyteUpdateService.exe การอัปเดตจะถูกดาวน์โหลดจากเซิร์ฟเวอร์ Gigabyte แต่จะทำได้โดยไม่มีการตรวจสอบข้อมูลที่ดาวน์โหลดอย่างเหมาะสมโดยใช้ลายเซ็นดิจิทัลและไม่ใช้การเข้ารหัสช่องสื่อสาร
นอกจากนั้น ยังกล่าวอีกว่า ดาวน์โหลดผ่าน HTTP โดยไม่อนุญาตให้เข้ารหัส แต่แม้เมื่อเข้าถึงผ่าน HTTPS ใบรับรองก็ไม่ได้รับการยืนยัน ทำให้ไฟล์ถูกแทนที่ด้วยการโจมตีแบบ MITM และทำให้ขั้นตอนการเรียกใช้โค้ดบนระบบของผู้ใช้
ดูเหมือนว่าประตูหลังนี้จะใช้ฟังก์ชันการทำงานโดยเจตนาและจะต้องมีการอัปเดตเฟิร์มแวร์เพื่อลบออกจากระบบที่ได้รับผลกระทบโดยสมบูรณ์ แม้ว่าการสืบสวนอย่างต่อเนื่องของเราไม่ได้ยืนยันว่าแฮ็กเกอร์เจาะจงเจาะจง แต่แบ็คดอร์ที่ใช้งานอยู่อย่างแพร่หลายซึ่งยากต่อการกำจัดนั้นแสดงถึงความเสี่ยงด้านห่วงโซ่อุปทานสำหรับองค์กรที่มีระบบ Gigabyte
เพื่อทำให้สถานการณ์ซับซ้อนขึ้น การกำจัดปัญหาอย่างสมบูรณ์ต้องมีการอัพเดตเฟิร์มแวร์เนื่องจากตรรกะสำหรับการรันโค้ดของบุคคลที่สามนั้นมีอยู่ในเฟิร์มแวร์ เพื่อเป็นการป้องกันชั่วคราวจากการโจมตี MITM ของผู้ใช้บอร์ด Gigabyte ขอแนะนำให้บล็อก URL ด้านบนในไฟร์วอลล์
Gigabyte ตระหนักถึงความไม่สามารถยอมรับได้ การมีอยู่ของเฟิร์มแวร์ของบริการอัปเดตอัตโนมัติที่ไม่ปลอดภัยดังกล่าวและบังคับให้รวมเข้ากับระบบ เนื่องจากการประนีประนอมกับโครงสร้างพื้นฐานของบริษัทหรือสมาชิกของห่วงโซ่อุปทาน (ซัพพลายเชน) อาจนำไปสู่การโจมตีผู้ใช้และองค์กรได้ เนื่องจากที่ ในขณะที่การเปิดตัวของมัลแวร์ไม่ได้ถูกควบคุมในระดับระบบปฏิบัติการ
ด้วยเหตุนี้ ผู้ก่อภัยคุกคามใดๆ สามารถใช้สิ่งนี้เพื่อแพร่ระบาดในระบบที่มีช่องโหว่อย่างต่อเนื่อง ไม่ว่าจะผ่าน MITM หรือโครงสร้างพื้นฐานที่ถูกบุกรุก
สุดท้ายนี้ หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติม สามารถปรึกษารายละเอียดได้ ในลิงค์ต่อไปนี้.