Takaoven laiteohjelmisto löydetty miljoonilta PC-emolevyiltä
Kyberrikolliset ovat yhä useammin käyttäneet kieroa taktiikkaa kätkemällä haittaohjelmat tietokoneen UEFI-laiteohjelmistoon – käyttöjärjestelmän käynnistämisestä vastaavaan peruskoodiin. Tilanne muuttuu kuitenkin vielä hälyttävämmäksi, kun emolevyn valmistaja ei vain sisällytä piilotettua takaoveaan miljoonien tietokoneiden laiteohjelmistoon, vaan ei pysty varmistamaan sisäänkäyntiä kunnolla.
Äskettäin laiteohjelmistoon erikoistunut kyberturvallisuustutkijaryhmä on löytänyt piilotetun mekanismin, joka on upotettu emolevyjen laiteohjelmistoon, jonka on valmistanut Gigabyte, tunnettu taiwanilainen yritys, jota käytetään laajasti pelitietokoneissa ja korkean suorituskyvyn tietokoneissa. Kun tietokone käynnistetään uudelleen, jos Gigabyte-emolevy on ongelmallinen, laiteohjelmiston piilotettu koodi käynnistää huomaamattomasti päivitysohjelman tietokoneessa. Myöhemmin tämä ohjelma lataa ja suorittaa toisen ohjelmiston ilman käyttäjän tietämystä tai suostumusta.
Sisällysluettelo
Tarkoitukset hyvät, toteutus ei niin paljon
Vaikka Gigabyte-emolevyn laiteohjelmistosta löydetty piilokoodi oli oletettavasti tarkoitettu vaarattomaksi työkaluksi laiteohjelmistopäivityksiin, tutkijat ovat havainneet merkittäviä tietoturvapuutteita sen toteutuksessa. Nämä haavoittuvuudet luovat mahdollisen riskin siitä, että haitalliset toimijat käyttävät mekanismia hyväkseen ja voivat käyttää sitä haittaohjelmien asentamiseen tarkoitetun Gigabyte-ohjelman sijaan.
Ongelmaa pahentaa se, että päivitysohjelma käynnistetään tietokoneen laiteohjelmistosta, joka toimii käyttäjän käyttöjärjestelmän ulkopuolella. Tämä tekee käyttäjille uskomattoman haastavaa havaita tai poistaa ongelmallisen koodin, mikä pahentaa entisestään tietoturvahaavoittuvuuden mahdollista vaikutusta.
Mukana yli 270 mallia
Jos haluat nähdä, sisältääkö tietokoneesi emolevy kyseisen takaoven, siirry kohtaan "Käynnistä" Windowsissa ja avaa "Järjestelmätiedot".
Laiteohjelmistopohjaista haittakoodia tutkiessaan tutkijat tekivät merkittävän löydön Gigabyten piilotetusta laiteohjelmistomekanismista. Tämä havainto on erityisen merkittävä, koska kehittyneet hakkerit käyttävät usein samanlaisia taktiikoita. Yllättäen tutkijoiden automaattiset tunnistusskannaukset merkitsivät Gigabyten päivitysmekanismia epäilyttäviin toimiin, jotka muistuttavat valtion tukemia hakkerointityökaluja. Tarkemmin sanottuna se sisälsi piiloutumisen laiteohjelmistoon ja ohjelman äänettömän suorittamisen, joka lataa koodia Internetistä.
Pelkästään Gigabyten päivitysmekanismi on herättänyt huolta käyttäjissä, jotka ovat huolissaan mahdollisesta hiljaisen koodin asennuksesta lähes huomaamattoman työkalun kautta. Lisäksi pelätään aidosti, että Gigabyten mekanismi voisi joutua emolevyn valmistajaan soluttautuneiden hakkerien hyväksikäytön uhriksi hyödyntäen sen piilotettua pääsyä ilkeälle ohjelmistotoimitusketjuhyökkäykselle. Eclypsiumin tutkimus paljasti kuitenkin vielä hälyttävämmän paljastuksen. Päivitysmekanismi, joka on suunniteltu parantamaan käyttökokemusta, sisältää räikeitä haavoittuvuuksia, jotka voivat joutua haitallisesti kaapatuksi. Järkyttävää kyllä, se lataa koodin käyttäjän koneelle ilman asianmukaista todennusta, ja joissakin tapauksissa se jopa käyttää turvatonta HTTP-yhteyttä turvallisemman HTTPS:n sijaan.
Tämä ammottava tietoturva-aukko antaa pahantahoisille toimijoille mahdollisuuden järjestää välimieshyökkäyksiä, jolloin he voivat pettää hyväuskoisia käyttäjiä huijaamalla asennuslähdettä. Pohjimmiltaan jopa petollisesta Wi-Fi-verkosta voi tulla vaaraväline, joka kaappaa käyttäjän Internet-yhteyden ja vaarantaa järjestelmän eheyden.
Muissa tapauksissa Gigabyten laiteohjelmistomekanismi mahdollistaa päivityksen hakemisen paikalliseen verkkoon liitetyltä tallennuslaitteelta (NAS). Tämä ominaisuus, jonka tarkoituksena on ilmeisesti helpottaa päivityksiä yritysverkoissa, välttää laajan Internet-yhteyden kaikilta koneilta. Kuitenkin, kun näin tapahtuu, samassa verkossa oleva haitallinen toimija voi vilpillisesti manipuloida NAS-sijaintia ja korvata valtuutetut päivitykset omilla haittaohjelmillaan.
Korjaus saattaa toimia... vai ei?
Huolimatta Gigabyten mahdollisista ponnisteluista laiteohjelmisto-ongelman ratkaisemiseksi, laiteohjelmistopäivitykset päättyvät usein hiljaa käyttäjien koneilla prosessin monimutkaisen luonteen ja laiteohjelmiston ja laitteiston yhdistämisen haasteen vuoksi. Tämä paljastus on syvästi huolestuttava, kun otetaan huomioon suuri määrä laitteita, joihin se voi vaikuttaa. Vaikka Gigabytillä ei todennäköisesti ollut haitallisia tai petollisia aikeita piilotetun laiteohjelmistotyökalunsa kanssa, käyttöjärjestelmän alla olevan piilokoodin tietoturvahaavoittuvuudet heikentävät käyttäjien perustavanlaatuista luottamusta koneisiinsa.