Các nhà nghiên cứu phát hiện "cửa hậu" trên bo mạch chủ Gigabyte

Mới đây, thông tin được tiết lộ Các nhà nghiên cứu Eclypsium đã xác định được hành vi bất thường trong các hệ thống với đĩa «Gigabyte».

Các nhà nghiên cứu đề cập rằng họ đã phát hiện ra mà "phần sụn UEFI" đã sử dụng trên đĩa đã thực hiện thay thế và khởi chạy tệp thực thi cho nền tảng Windows, tất cả điều này mà không thông báo cho người dùng trong quá trình khởi động hệ thống. Đổi lại, người ta đề cập rằng tệp thực thi đã khởi chạy đã được tải xuống từ mạng và sau đó nó đã khởi chạy tệp thực thi của bên thứ ba.

Trong một phân tích chi tiết hơn về tình hình, nó đã chỉ ra rằng hành vi giống hệt nhau xảy ra trên hàng trăm mô hình khác nhau của bo mạch chủ Gigabyte và được liên kết với hoạt động của ứng dụng Trung tâm ứng dụng do công ty cung cấp.

Gần đây, nền tảng Eclypsium bắt đầu phát hiện hành vi cửa sau đáng ngờ trong các hệ thống Gigabyte. Những phát hiện này được thúc đẩy bởi các phương pháp phát hiện heuristic, đóng vai trò quan trọng trong việc phát hiện các mối đe dọa mới và chưa biết trước đây trong chuỗi cung ứng, nơi các bản cập nhật công nghệ hoặc sản phẩm hợp pháp của bên thứ ba đã bị xâm phạm.

Về quy trình, người ta đề cập rằnge tệp thực thi được tích hợp vào chương trình cơ sở UEFI và điều này được lưu trữ trên đĩa trong quá trình khởi tạo hệ thống lúc khởi động. Ở giai đoạn khởi chạy trình điều khiển (DXE, Môi trường thực thi trình điều khiển), sử dụng mô-đun chương trình cơ sở WpbtDxe.efi, tệp này được tải vào bộ nhớ và ghi vào bảng ACPI WPBT, nội dung sau đó được quản trị viên tải và thực thi. trình quản lý ( smss.exe, hệ thống con trình quản lý phiên Windows).

Trước khi tải, mô-đun kiểm tra xem tính năng "Tải xuống và cài đặt trung tâm ứng dụng" đã được bật trong BIOS/UEFI chưa, vì theo mặc định, tính năng này bị tắt. Trong quá trình khởi động ở phía Windows, mã này sẽ thay thế tệp thực thi trên hệ thống, được đăng ký làm dịch vụ hệ thống.

Phân tích tiếp theo của chúng tôi cho thấy phần sụn trên các hệ thống Gigabyte đang tải xuống và chạy một tệp thực thi Windows gốc trong quá trình khởi động hệ thống và tệp thực thi này sau đó tải xuống và chạy các tải trọng bổ sung theo cách không an toàn.

Sau khi bắt đầu dịch vụ GigabyteUpdateService.exe, bản cập nhật được tải xuống từ máy chủ Gigabyte, nhưng điều này được thực hiện mà không cần xác minh chính xác dữ liệu đã tải xuống bằng chữ ký số và không sử dụng mã hóa kênh liên lạc.

Ngoài ra, nó được đề cập rằng cho phép tải xuống qua HTTP mà không cần mã hóa, nhưng ngay cả khi được truy cập qua HTTPS, chứng chỉ không được xác minh, cho phép thay thế tệp bằng các cuộc tấn công MITM và thực thi mã của nó trên hệ thống của người dùng.

Cửa hậu này dường như đang triển khai chức năng có chủ ý và sẽ yêu cầu cập nhật chương trình cơ sở để loại bỏ hoàn toàn nó khỏi các hệ thống bị ảnh hưởng. Mặc dù cuộc điều tra đang diễn ra của chúng tôi chưa xác nhận được hành vi khai thác của một tin tặc cụ thể, nhưng một cửa hậu đang hoạt động phổ biến và khó loại bỏ sẽ gây ra rủi ro chuỗi cung ứng cho các tổ chức có hệ thống Gigabyte. 

Để làm phức tạp thêm tình hình, loại bỏ hoàn toàn sự cố yêu cầu cập nhật chương trình cơ sở, vì logic để thực thi mã của bên thứ ba được tích hợp vào chương trình cơ sở. Để bảo vệ tạm thời chống lại cuộc tấn công MITM đối với người dùng bo mạch Gigabyte, nên chặn các URL trên trong tường lửa.

Gigabyte nhận thức được sự không thể chấp nhận được về sự hiện diện trong phần sụn của các dịch vụ cập nhật tự động không an toàn như vậy và buộc phải tích hợp vào hệ thống, vì việc xâm phạm cơ sở hạ tầng của công ty hoặc thành viên của chuỗi cung ứng (chuỗi cung ứng) có thể dẫn đến các cuộc tấn công vào người dùng và tổ chức, vì tại thời điểm khởi chạy phần mềm độc hại không được kiểm soát ở cấp hệ điều hành.

Do đó, bất kỳ tác nhân đe dọa nào cũng có thể sử dụng điều này để liên tục lây nhiễm các hệ thống dễ bị tổn thương, thông qua MITM hoặc cơ sở hạ tầng bị xâm nhập.

Cuối cùng, nếu bạn quan tâm có thể biết thêm về nó, bạn có thể tham khảo chi tiết Trong liên kết sau đây.