Firmware backdoor trovato su milioni di schede madri per PC
I criminali informatici hanno sempre più utilizzato una tattica subdola nascondendo programmi dannosi all'interno del firmware UEFI di un computer, il codice fondamentale responsabile dell'avvio del sistema operativo. Tuttavia, la situazione diventa ancora più allarmante quando un produttore di schede madri non solo include la sua backdoor nascosta nel firmware di milioni di computer, ma non riesce a proteggere correttamente tale ingresso.
Di recente, un team di ricercatori di cybersecurity specializzato in firmware ha scoperto un meccanismo nascosto incorporato nel firmware delle schede madri prodotte da Gigabyte, una rinomata azienda taiwanese molto utilizzata nei PC da gioco e nei computer ad alte prestazioni. Al riavvio di un computer con la scheda madre Gigabyte interessata, il codice nascosto all'interno del firmware attiva discretamente un programma di aggiornamento sul computer. Successivamente, questo programma scarica ed esegue un altro software all'insaputa o all'insaputa dell'utente.
Sommario
Intenzioni buone, implementazione non così tanto
Sebbene il codice nascosto scoperto nel firmware della scheda madre Gigabyte fosse presumibilmente inteso come uno strumento innocuo per gli aggiornamenti del firmware, i ricercatori hanno identificato significativi difetti di sicurezza nella sua implementazione. Queste vulnerabilità creano un potenziale rischio che attori malintenzionati sfruttino il meccanismo, che potrebbe utilizzarlo per installare malware invece del programma Gigabyte previsto.
Ad aggravare il problema c'è il fatto che il programma di aggiornamento viene avviato dal firmware del computer, operando al di fuori del regno del sistema operativo dell'utente. Ciò rende incredibilmente difficile per gli utenti rilevare o rimuovere il codice problematico, aggravando ulteriormente il potenziale impatto della vulnerabilità della sicurezza.
Più di 270 modelli coinvolti
Per vedere se la scheda madre del tuo computer contiene la backdoor in questione, vai su "Start" in Windows e accedi a "Informazioni di sistema".
Durante le indagini sul codice dannoso basato sul firmware, i ricercatori hanno fatto una scoperta significativa riguardante il meccanismo del firmware nascosto di Gigabyte. Questa scoperta è particolarmente degna di nota poiché gli hacker sofisticati utilizzano spesso tattiche simili. Sorprendentemente, le scansioni di rilevamento automatico dei ricercatori hanno segnalato il meccanismo di aggiornamento di Gigabyte per aver intrapreso attività sospette che ricordano gli strumenti di hacking sponsorizzati dallo stato. Nello specifico, si trattava di nascondersi all'interno del firmware e di eseguire silenziosamente un programma che scaricava codice da Internet.
Il meccanismo di aggiornamento di Gigabyte da solo ha acceso le preoccupazioni tra gli utenti che sono preoccupati per la prospettiva di installazioni silenziose di codice attraverso uno strumento quasi impercettibile. Inoltre, vi è un autentico timore che il meccanismo di Gigabyte possa essere vittima di sfruttamento da parte di hacker che si infiltrano nel produttore della scheda madre, sfruttando il suo accesso nascosto per un nefasto attacco alla catena di fornitura del software. Tuttavia, l'indagine di Eclypsium ha portato alla luce una rivelazione ancora più allarmante. Il meccanismo di aggiornamento, progettato per migliorare l'esperienza dell'utente, contiene evidenti vulnerabilità che potrebbero essere dirottate in modo dannoso. Sorprendentemente, scarica il codice sul computer dell'utente senza sottoporsi a un'autenticazione adeguata e, in alcuni casi, utilizza persino una connessione HTTP non sicura invece del più sicuro HTTPS.
Questo buco di sicurezza spalancato consente agli attori malevoli di orchestrare attacchi man-in-the-middle, consentendo loro di ingannare gli utenti ignari falsificando l'origine dell'installazione. In sostanza, anche una rete Wi-Fi canaglia potrebbe diventare uno strumento di pericolo, intercettando la connessione internet dell'utente e compromettendone l'integrità del sistema.
In altri casi, il meccanismo del firmware di Gigabyte consente al programma di aggiornamento di recuperare i download da un dispositivo NAS (Network-Attached Storage) locale. Questa funzione, apparentemente mirata a facilitare gli aggiornamenti all'interno delle reti aziendali, evita l'ampio accesso a Internet da parte di tutte le macchine. Tuttavia, quando ciò si verifica, un attore malintenzionato sulla stessa rete può manipolare ingannevolmente la posizione del NAS, sostituendo surrettiziamente gli aggiornamenti autorizzati con il proprio malware.
Una correzione potrebbe funzionare ... o no?
Nonostante i potenziali sforzi di Gigabyte per risolvere il problema del firmware, gli aggiornamenti del firmware spesso terminano silenziosamente sui computer degli utenti a causa della natura complessa del processo e della sfida dell'allineamento del firmware con l'hardware. Questa rivelazione è profondamente preoccupante, considerando il vasto numero di dispositivi che potrebbero essere interessati. Sebbene Gigabyte probabilmente non avesse intenzioni dannose o ingannevoli con il suo strumento firmware nascosto, le vulnerabilità di sicurezza all'interno del codice nascosto sotto il sistema operativo minano la fiducia fondamentale degli utenti nelle loro macchine.