Hátsóajtós firmware több millió PC-alaplapon található
A számítógépes bûnözõk egyre gyakrabban alkalmaznak ravasz taktikát, amikor a rosszindulatú programokat elrejtik a számítógép UEFI firmware-jében – ez az operációs rendszer indításának alapvetõ kódja. A helyzet azonban még riasztóbbá válik, amikor egy alaplapgyártó nemcsak rejtett hátsó ajtaját helyezi be számítógépek millióinak firmware-ébe, de nem tudja megfelelően biztosítani azt a bejáratot.
A közelmúltban egy firmware-re szakosodott kiberbiztonsági kutatócsoport egy rejtett mechanizmust fedezett fel a Gigabyte, a játék PC-kben és nagy teljesítményű számítógépekben széles körben használt tajvani cég által gyártott alaplapok firmware-jébe. Az érintett Gigabyte alaplappal rendelkező számítógép újraindításakor a firmware rejtett kódja diszkréten elindít egy frissítő programot a számítógépen. Ezt követően ez a program letölt és végrehajt egy másik szoftvert a felhasználó tudta vagy beleegyezése nélkül.
Tartalomjegyzék
A szándék jó, a megvalósítás nem annyira
Míg a Gigabyte alaplapi firmware-ben felfedezett rejtett kódot feltehetően a firmware-frissítések ártalmatlan eszközének szánták, a kutatók jelentős biztonsági hibákat azonosítottak a megvalósítás során. Ezek a sérülékenységek potenciális kockázatot jelentenek annak, hogy rosszindulatú szereplők kihasználják a mechanizmust, és felhasználhatják azt rosszindulatú programok telepítésére a tervezett Gigabyte program helyett.
Bonyolítja a problémát, hogy a frissítőprogram a számítógép firmware-éből indul, és a felhasználó operációs rendszerén kívül működik. Ez hihetetlenül nagy kihívást jelent a felhasználók számára a problémás kód észlelésében vagy eltávolításában, ami tovább súlyosbítja a biztonsági rés potenciális hatását.
Több mint 270 modell érintett
Ha meg szeretné nézni, hogy számítógépe alaplapja tartalmazza-e a kérdéses hátsó ajtót, lépjen a Windows "Start" elemére, és nyissa meg a "Rendszerinformációk" elemet.
A firmware-alapú rosszindulatú kódok vizsgálata során a kutatók jelentős felfedezést tettek a Gigabyte rejtett firmware-mechanizmusával kapcsolatban. Ez a megállapítás különösen figyelemre méltó, mivel a kifinomult hackerek gyakran alkalmaznak hasonló taktikákat. Meglepő módon a kutatók automatizált észlelési vizsgálatai megjelölték a Gigabyte frissítő mechanizmusát az államilag támogatott hackereszközökre emlékeztető gyanús tevékenységekben. Konkrétan a firmware-en belüli elrejtésről és egy olyan program csendes végrehajtásáról volt szó, amely kódot tölt le az internetről.
A Gigabyte frissítőmechanizmusa önmagában is aggodalmakat váltott ki a felhasználók körében, akik félnek attól, hogy egy szinte észrevehetetlen eszközön keresztül csendes kódot telepítsenek. Emellett őszintén félnek attól, hogy a Gigabyte mechanizmusa áldozatul eshet a hackerek kihasználásának, akik behatolnak az alaplapgyártóba, kihasználva annak rejtett hozzáférését egy aljas szoftverellátási lánc támadásra. Az Eclypsium nyomozása azonban még riasztóbb kinyilatkoztatásra bukkant. A felhasználói élmény javítását célzó frissítési mechanizmus kirívó sebezhetőségeket tartalmaz, amelyek rosszindulatú feltörést okozhatnak. Megdöbbentő, hogy megfelelő hitelesítés nélkül tölt le kódot a felhasználó gépére, sőt bizonyos esetekben nem biztonságos HTTP-kapcsolatot is használ a biztonságosabb HTTPS helyett.
Ez a tátongó biztonsági rés lehetővé teszi a rosszindulatú szereplők számára, hogy „man-in-the-middle” támadásokat szervezzenek, így a telepítési forrás meghamisításával megtéveszthetik a gyanútlan felhasználókat. Lényegében még egy szélhámos Wi-Fi hálózat is veszélyforrássá válhat, elfoghatja a felhasználó internetkapcsolatát, és veszélyeztetheti a rendszer integritását.
Más esetekben a Gigabyte firmware-mechanizmusa lehetővé teszi a frissítő számára a letöltések letöltését a helyi hálózathoz csatlakoztatott tárolóeszközről (NAS). Ez a funkció, amely látszólag az üzleti hálózatokon belüli frissítések megkönnyítését célozza, elkerüli a széles körű internet-hozzáférést minden gépen. Azonban ha ez megtörténik, egy rosszindulatú szereplő ugyanazon a hálózaton megtévesztő módon manipulálhatja a NAS helyét, és titokban lecserélheti az engedélyezett frissítéseket a saját kártevőire.
Egy javítás működhet… vagy nem?
Annak ellenére, hogy a Gigabyte potenciális erőfeszítéseket tesz a firmware-probléma megoldására, a firmware-frissítések gyakran csendben véget érnek a felhasználók gépein a folyamat bonyolult természete és a firmware-hardver összehangolása miatt. Ez a kinyilatkoztatás mély aggodalomra ad okot, tekintve, hogy milyen nagyszámú eszközt érinthet. Míg a Gigabyte-nak valószínűleg nem volt rosszindulatú vagy megtévesztő szándéka a rejtett firmware-eszközével, az operációs rendszer alatti rejtett kódon belüli biztonsági rések aláássák a felhasználók gépeikbe vetett alapvető bizalmát.