Bu kusurlardan yararlanılırsa, saldırganların hassas bilgilere yetkisiz erişim elde etmesine izin verebilir veya genellikle sorunlara neden olabilir.
Son zamanlarda, bilgi yayınlandı Eclypsium araştırmacıları belirledi olan sistemlerde anormal davranış plakalar «Gigabyte».
Araştırmacılar tespit ettiklerini belirtiyorlar. kullanılan "UEFI donanım yazılımı" plakalarda Windows platformu için yürütülebilir dosyanın değiştirilmesini ve başlatılmasını gerçekleştirdi, tüm bunlar, sistem başlatılırken kullanıcıyı bilgilendirmeden. Buna karşılık, başlatılan yürütülebilir dosyanın ağdan indirildiğinden ve bunun ardından üçüncü taraf yürütülebilir dosyaları başlattığından bahsedilir.
Durumun daha ayrıntılı bir analizinde, gösterildi ki yüzlerce farklı modelde aynı davranış oluşur Gigabyte anakartların ve şirket tarafından sağlanan Uygulama Merkezi uygulamasının çalışmasıyla ilişkilidir.
Son zamanlarda Eclypsium platformu, vahşi ortamda Gigabyte sistemlerinde şüpheli arka kapı davranışlarını tespit etmeye başladı. Bu tespitler, yasal üçüncü taraf ürünlerinin veya teknoloji güncellemelerinin ele geçirildiği tedarik zincirindeki yeni ve önceden bilinmeyen tehditlerin tespit edilmesinde önemli bir rol oynayan buluşsal tespit yöntemleri tarafından yönlendirildi.
Süreçle ilgili olarak şu ifadelere yer verildi:Yürütülebilir dosya UEFI ürün yazılımına dahil edilmiştir ve bunun diskte saklandığını önyükleme sırasında sistem başlatma işlemi sırasında. Sürücü başlatma aşamasında (DXE, Driver Execution Environment), WpbtDxe.efi üretici yazılımı modülü kullanılarak bu dosya belleğe yüklenir ve içeriği daha sonra yönetici tarafından yüklenip yürütülen WPBT ACPI tablosuna yazılır. yöneticisi ( smss.exe, Windows oturum yöneticisi alt sistemi).
Modül, yüklemeden önce BIOS/UEFI'de "APP Center Download and Install" özelliğinin etkinleştirildiğini kontrol eder, çünkü bu varsayılan olarak devre dışıdır. Windows tarafında başlatma sırasında kod, sistem hizmeti olarak kaydedilen sistemdeki yürütülebilir dosyanın yerini alır.
Takip analizimiz, Gigabyte sistemlerindeki üretici yazılımının sistem başlatma işlemi sırasında yerel bir Windows yürütülebilir dosyasını indirip çalıştırdığını ve bu yürütülebilir dosyanın daha sonra ek yükleri güvenli olmayan bir şekilde indirip çalıştırdığını tespit etti.
GigabyteUpdateService.exe hizmetini başlattıktan sonra, güncelleme Gigabyte sunucularından indirilir, ancak bu, indirilen verilerin dijital imza kullanılarak uygun şekilde doğrulanması ve iletişim kanalı şifrelemesi kullanılmadan yapılır.
Ayrıca bahsedildiği gibi, şifreleme olmadan HTTP yoluyla indirmeye izin verildi, ancak HTTPS yoluyla erişildiğinde bile sertifika doğrulanmadı, bu da dosyanın MITM saldırılarıyla değiştirilmesine ve kullanıcının sisteminde kod yürütme aşamasına geçmesine izin verdi.
Bu arka kapı kasıtlı işlevsellik uyguluyor gibi görünüyor ve etkilenen sistemlerden tamamen kaldırmak için bir ürün yazılımı güncellemesi gerektirecek. Devam eden araştırmamız belirli bir bilgisayar korsanı tarafından istismar edildiğini doğrulamasa da, ortadan kaldırılması zor olan yaygın bir aktif arka kapı, Gigabyte sistemlerine sahip kuruluşlar için bir tedarik zinciri riski teşkil eder.
Durumu karmaşıklaştırmak için, sorunun tamamen ortadan kaldırılması bir ürün yazılımı güncellemesi gerektirir, çünkü üçüncü taraf kodunu yürütme mantığı ürün yazılımında yerleşiktir. Gigabyte kart kullanıcılarına yönelik bir MITM saldırısına karşı geçici bir koruma olarak, güvenlik duvarında yukarıdaki URL'lerin engellenmesi önerilir.
Gigabyte kabul edilemezliğin farkında Şirketin altyapısının veya tedarik zincirinin (tedarik zincirinin) bir üyesinin tehlikeye atılması, kullanıcılara ve kuruluşa yönelik saldırılara yol açabileceğinden, bu tür güvenli olmayan otomatik güncelleme hizmetlerinin aygıt yazılımındaki varlığının ve sisteme zorla entegre edilmesinin Şu anda, kötü amaçlı yazılımın başlatılması işletim sistemi düzeyinde kontrol edilmiyor.
Sonuç olarak, herhangi bir tehdit aktörü bunu, MITM veya güvenliği ihlal edilmiş bir altyapı aracılığıyla savunmasız sistemlere kalıcı olarak bulaşmak için kullanabilir.
Son olarak, bu konuda daha fazla bilgi edinmek istiyorsanız, ayrıntılara başvurabilirsiniz. Aşağıdaki bağlantıda.