Backdoor фърмуер, открит на милиони дънни платки за компютри
Киберпрестъпниците все по-често използват коварна тактика, като прикриват злонамерени програми в UEFI фърмуера на компютъра – основният код, отговорен за зареждането на операционната система. Ситуацията обаче става още по-тревожна, когато производителят на дънна платка не само включва своята скрита задна врата във фърмуера на милиони компютри, но не успява да осигури правилно този вход.
Наскоро екип от изследователи по киберсигурност, специализиран във фърмуер, откри скрит механизъм, вграден във фърмуера на дънни платки, произведени от Gigabyte, известна тайванска компания, широко използвана в компютри за игри и високопроизводителни компютри. При рестартиране на компютър със засегнатата дънна платка на Gigabyte, скритият код във фърмуера дискретно задейства програма за актуализиране на компютъра. Впоследствие тази програма изтегля и изпълнява друг софтуер без знанието или съгласието на потребителя.
Съдържание
Намеренията са добри, изпълнението не е толкова много
Въпреки че скритият код, открит във фърмуера на дънната платка на Gigabyte, вероятно е бил предназначен като безвреден инструмент за актуализации на фърмуера, изследователите са идентифицирали значителни пропуски в сигурността при неговото внедряване. Тези уязвимости създават потенциален риск злонамерени участници да експлоатират механизма, които биха могли да го използват, за да инсталират зловреден софтуер вместо предвидената програма Gigabyte.
Проблемът се усложнява от факта, че програмата за актуализиране се стартира от фърмуера на компютъра, работещ извън областта на операционната система на потребителя. Това прави невероятно предизвикателство за потребителите да открият или премахнат проблемния код, което допълнително изостря потенциалното въздействие на уязвимостта на сигурността.
Участват повече от 270 модела
За да видите дали дънната платка на вашия компютър съдържа въпросната задна вратичка, отворете „Старт“ в Windows и отворете „Системна информация“.
Докато разследваха базиран на фърмуер злонамерен код, изследователите направиха важно откритие по отношение на механизма на скрития фърмуер на Gigabyte. Тази констатация е особено забележителна, тъй като сложните хакери често използват подобни тактики. Изненадващо, автоматизираните сканирания за откриване на изследователите маркираха механизма за актуализиране на Gigabyte за участие в подозрителни дейности, напомнящи спонсорирани от държавата хакерски инструменти. По-конкретно, включваше скриване във фърмуера и безшумно изпълнение на програма, която изтегля код от интернет.
Механизмът за актуализиране на Gigabyte сам по себе си предизвика опасения сред потребителите, които се притесняват от перспективата за тихи инсталации на код чрез почти незабележим инструмент. Освен това съществува истински страх, че механизмът на Gigabyte може да стане жертва на експлоатация от хакери, които проникват в производителя на дънната платка, използвайки неговия скрит достъп за злонамерена атака по веригата за доставки на софтуер. Разследването на Eclypsium обаче разкри още по-тревожно разкритие. Механизмът за актуализиране, предназначен да подобри потребителското изживяване, съдържа явни уязвимости, които имат потенциал да бъдат злонамерено отвлечени. Шокиращо, той изтегля код на машината на потребителя, без да се подлага на правилно удостоверяване, а в някои случаи дори използва несигурна HTTP връзка вместо по-сигурния HTTPS.
Тази зейнала дупка в сигурността позволява на злонамерени актьори да организират атаки тип „човек по средата“, което им позволява да заблудят нищо неподозиращите потребители чрез подправяне на източника на инсталация. По същество дори фалшива Wi-Fi мрежа може да се превърне в инструмент за опасност, прихващайки интернет връзката на потребителя и компрометирайки целостта на системата му.
В други случаи фърмуерният механизъм на Gigabyte позволява на актуализатора да извлича изтегляния от локално мрежово устройство за съхранение (NAS). Тази функция, привидно насочена към улесняване на актуализациите в бизнес мрежите, избягва обширен достъп до интернет от всички машини. Въпреки това, когато това се случи, злонамерен играч в същата мрежа може измамно да манипулира местоположението на NAS, тайно заменяйки разрешените актуализации със собствен злонамерен софтуер.
Поправката може да работи ... или не?
Въпреки потенциалните усилия на Gigabyte да се справи с проблема с фърмуера, актуализациите на фърмуера често се прекратяват безшумно на машините на потребителите поради сложния характер на процеса и предизвикателството за привеждане в съответствие на фърмуера с хардуера. Това разкритие е дълбоко тревожно, като се има предвид огромният брой устройства, които могат да бъдат засегнати. Докато Gigabyte вероятно не са имали злонамерени или измамни намерения с техния скрит инструмент за фърмуер, уязвимостите в сигурността в скрития код под операционната система подкопават фундаменталното доверие на потребителите в техните машини.