קושחה לדלת אחורית נמצאה על מיליוני לוחות אם למחשבים אישיים

פושעי סייבר השתמשו יותר ויותר בטקטיקה ערמומית על ידי הסתרת תוכניות זדוניות בתוך קושחת ה-UEFI של המחשב - הקוד הבסיסי שאחראי לאתחול מערכת ההפעלה. עם זאת, המצב הופך אפילו יותר מדאיג כאשר יצרן לוח אם לא רק כולל את הדלת האחורית הנסתרת שלו בקושחה של מיליוני מחשבים אלא לא מצליח לאבטח את הכניסה הזו כראוי.

לאחרונה, צוות חוקרי אבטחת סייבר המתמחה בקושחה גילה מנגנון סמוי המוטמע בקושחה של לוחות אם המיוצרים על ידי Gigabyte, חברה טייוואנית ידועה בשימוש נרחב במחשבי גיימינג ומחשבים בעלי ביצועים גבוהים. עם הפעלה מחדש של מחשב עם לוח האם המושפע של Gigabyte, הקוד הנסתר בתוך הקושחה מפעיל באופן דיסקרטי תוכנית עדכון במחשב. לאחר מכן, תוכנית זו מורידה ומפעילה תוכנה נוספת ללא ידיעת המשתמש או הסכמתו.

כוונות טובות, יישום לא כל כך

בעוד שהקוד הנסתר שהתגלה בקושחת לוח האם של Gigabyte נועד ככל הנראה ככלי לא מזיק לעדכוני קושחה, חוקרים זיהו ליקויי אבטחה משמעותיים ביישום שלו. פגיעויות אלו יוצרות סיכון פוטנציאלי של גורמים זדוניים שינצלו את המנגנון, שעלולים להשתמש בו כדי להתקין תוכנות זדוניות במקום תוכנית Gigabyte המיועדת.

מה שמרכיב את הבעיה היא העובדה שתוכנית העדכון מופעלת מהקושחה של המחשב, הפועלת מחוץ לתחום מערכת ההפעלה של המשתמש. זה הופך את זה למאתגר להפליא עבור משתמשים לזהות או להסיר את הקוד הבעייתי, מה שמחריף עוד יותר את ההשפעה הפוטנציאלית של פגיעות האבטחה.

יותר מ-270 דגמים מעורבים

כדי לראות אם לוח האם של המחשב שלך מכיל את הדלת האחורית המדוברת, נווט אל "התחל" ב-Windows ועבור ל"מידע מערכת".

תוך כדי חקירת קוד זדוני מבוסס קושחה, החוקרים גילו גילוי משמעותי בנוגע למנגנון הקושחה הסמוי של Gigabyte. ממצא זה בולט במיוחד מכיוון שהאקרים מתוחכמים נוקטים לעתים קרובות בטקטיקות דומות. באופן מפתיע, סריקות הזיהוי האוטומטיות של החוקרים סימנו את מנגנון העדכון של Gigabyte לעיסוק בפעילויות חשודות שמזכירות כלי פריצה בחסות המדינה. באופן ספציפי, זה כלל הסתרה בתוך הקושחה והפעלה שקטה של תוכנית שמורידה קוד מהאינטרנט.

מנגנון העדכון של Gigabyte לבדו הצית חששות בקרב משתמשים החוששים מהסיכוי להתקנות קוד שקט באמצעות כלי כמעט בלתי מורגש. יתר על כן, קיים חשש אמיתי שהמנגנון של Gigabyte עלול ליפול קורבן לניצול על ידי האקרים שחודרים ליצרן לוח האם, ולמנף את הגישה הנסתרת שלו להתקפת שרשרת אספקת תוכנה מרושעת. עם זאת, החקירה של אקליפסיום חשפה גילוי מדאיג עוד יותר. מנגנון העדכון, שנועד לשפר את חוויית המשתמש, מכיל נקודות תורפה בולטות שיש להן פוטנציאל להיחטף בזדון. באופן מזעזע, הוא מוריד קוד למחשב של המשתמש מבלי לעבור אימות מתאים, ובמקרים מסוימים הוא אפילו משתמש בחיבור HTTP לא מאובטח במקום ה-HTTPS המאובטח יותר.

חור האבטחה הפעור הזה מאפשר לשחקנים מרושעים לתזמר התקפות "אדם באמצע", ומאפשר להם להונות משתמשים תמימים על ידי זיוף מקור ההתקנה. למעשה, אפילו רשת Wi-Fi סוררת עלולה להפוך למכשיר של סכנה, ליירט את חיבור האינטרנט של המשתמש ולסכן את שלמות המערכת שלו.

במקרים אחרים, מנגנון הקושחה של Gigabyte מאפשר למעדכן להביא הורדות מהתקן אחסון מקומי המחובר לרשת (NAS). תכונה זו, שנועדה לכאורה להקל על עדכונים ברשתות עסקיות, מונעת גישה נרחבת לאינטרנט בכל המכונות. עם זאת, כאשר זה מתרחש, שחקן זדוני באותה רשת יכול לתפעל במרמה את מיקום ה-NAS, ולהחליף בחשאי עדכונים מורשים בתוכנות זדוניות משלו.

תיקון עשוי לעבוד ... או לא?

למרות המאמצים הפוטנציאליים של Gigabyte לטפל בבעיית הקושחה, עדכוני קושחה מסתיימים לעתים קרובות בשקט במחשבים של המשתמשים בשל האופי המורכב של התהליך והאתגר של יישור הקושחה לחומרה. הגילוי הזה מדאיג מאוד, בהתחשב במספר העצום של מכשירים שעלולים להיות מושפעים. בעוד שסביר להניח של-Gigabyte לא היו כוונות זדוניות או הונאה עם כלי הקושחה הסמוי שלהם, פרצות אבטחה בתוך הקוד הנסתר מתחת למערכת ההפעלה מערערות את האמון הבסיסי של המשתמשים במכונות שלהם.