Bagdørs-firmware fundet på millioner af pc-bundkort
Cyberkriminelle har i stigende grad brugt en lusket taktik ved at skjule ondsindede programmer i en computers UEFI-firmware - den grundlæggende kode, der er ansvarlig for opstart af operativsystemet. Situationen bliver dog endnu mere alarmerende, når en bundkortproducent ikke kun inkluderer sin skjulte bagdør i firmwaren på millioner af computere, men ikke formår at sikre denne indgang ordentligt.
For nylig har et hold af cybersikkerhedsforskere med speciale i firmware opdaget en skjult mekanisme indlejret i firmwaren på bundkort fremstillet af Gigabyte, et anerkendt taiwansk firma, der er meget udbredt i gaming-pc'er og højtydende computere. Ved genstart af en computer med det berørte Gigabyte bundkort, udløser den skjulte kode i firmwaren diskret et opdateringsprogram på computeren. Efterfølgende downloader og udfører dette program endnu et stykke software uden brugerens viden eller samtykke.
Indholdsfortegnelse
Intentioner gode, implementering ikke så meget
Mens den skjulte kode, der blev opdaget i Gigabyte bundkortets firmware, formentlig var tænkt som et harmløst værktøj til firmwareopdateringer, har forskere identificeret betydelige sikkerhedsfejl i implementeringen. Disse sårbarheder skaber en potentiel risiko for, at ondsindede aktører udnytter mekanismen, som kan bruge den til at installere malware i stedet for det tilsigtede Gigabyte-program.
Problemet forværrer det faktum, at opdateringsprogrammet startes fra computerens firmware, der fungerer uden for brugerens operativsystem. Dette gør det utroligt udfordrende for brugere at opdage eller fjerne den problematiske kode, hvilket yderligere forværrer den potentielle indvirkning af sikkerhedssårbarheden.
Mere end 270 modeller involveret
For at se, om din computers bundkort indeholder den pågældende bagdør, skal du navigere til "Start" i Windows og få adgang til "Systemoplysninger".
Mens de undersøgte firmware-baseret ondsindet kode, gjorde forskere en betydelig opdagelse vedrørende Gigabytes skjulte firmware-mekanisme. Denne konstatering er særlig bemærkelsesværdig, da sofistikerede hackere ofte anvender lignende taktikker. Overraskende nok markerede forskernes automatiske detektionsscanninger Gigabytes opdateringsmekanisme til at deltage i mistænkelige aktiviteter, der minder om statssponsorerede hackingværktøjer. Specifikt involverede det at gemme sig i firmwaren og stille eksekvering af et program, der downloader kode fra internettet.
Alene Gigabytes opdateringsmekanisme har vakt bekymring blandt brugere, der er bekymrede over udsigten til lydløs kodeinstallationer gennem et næsten umærkeligt værktøj. Desuden er der en ægte frygt for, at Gigabytes mekanisme kan blive ofre for udnyttelse af hackere, der infiltrerer bundkortproducenten, og udnytter dens skjulte adgang til et uhyggeligt softwareforsyningskædeangreb. Eclypsiums undersøgelse afslørede dog en endnu mere alarmerende afsløring. Opdateringsmekanismen, der er designet til at forbedre brugeroplevelsen, indeholder iøjnefaldende sårbarheder, der har potentiale til at blive kapret. Chokerende nok downloader den kode til brugerens maskine uden at gennemgå korrekt godkendelse, og i nogle tilfælde bruger den endda en usikker HTTP-forbindelse i stedet for den mere sikre HTTPS.
Dette gabende sikkerhedshul gør det muligt for ondsindede skuespillere at orkestrere man-in-the-midten-angreb, hvilket giver dem mulighed for at bedrage intetanende brugere ved at forfalske installationskilden. I bund og grund kan selv et useriøst Wi-Fi-netværk blive et fareinstrument, der opsnapper brugerens internetforbindelse og kompromittere deres systemintegritet.
I andre tilfælde gør Gigabytes firmwaremekanisme det muligt for opdateringsprogrammet at hente downloads fra en lokal netværkstilsluttet lagerenhed (NAS). Denne funktion, der tilsyneladende har til formål at lette opdateringer inden for forretningsnetværk, undgår omfattende internetadgang for alle maskiner. Men når dette sker, kan en ondsindet aktør på det samme netværk svigagtigt manipulere NAS-placeringen og i det skjulte erstatte autoriserede opdateringer med deres egen malware.
En rettelse virker måske ... eller ej?
På trods af Gigabytes potentielle bestræbelser på at løse firmwareproblemet, stopper firmwareopdateringer ofte lydløst på brugernes maskiner på grund af processens indviklede karakter og udfordringen med at tilpasse firmware med hardware. Denne åbenbaring er dybt bekymrende i betragtning af det store antal enheder, der kan blive påvirket. Mens Gigabyte sandsynligvis ikke havde nogen ondsindede eller bedrageriske hensigter med deres skjulte firmwareværktøj, underminerer sikkerhedssårbarheder i den skjulte kode under operativsystemet brugernes grundlæggende tillid til deres maskiner.