Bakdørsfastvare funnet på millioner av PC-hovedkort
Nettkriminelle har i økende grad brukt en utspekulert taktikk ved å skjule ondsinnede programmer i en datamaskins UEFI-fastvare – den grunnleggende koden som er ansvarlig for oppstart av operativsystemet. Situasjonen blir imidlertid enda mer alarmerende når en hovedkortprodusent ikke bare inkluderer sin skjulte bakdør i fastvaren til millioner av datamaskiner, men ikke klarer å sikre inngangen på riktig måte.
Nylig har et team av cybersikkerhetsforskere som spesialiserer seg på fastvare oppdaget en skjult mekanisme innebygd i fastvaren på hovedkort produsert av Gigabyte, et anerkjent taiwansk selskap som er mye brukt i spill-PCer og høyytelsesdatamaskiner. Ved omstart av en datamaskin med det berørte Gigabyte-hovedkortet, utløser den skjulte koden i fastvaren diskret et oppdateringsprogram på datamaskinen. Deretter laster dette programmet ned og kjører et annet stykke programvare uten brukerens viten eller samtykke.
Innholdsfortegnelse
Gode intensjoner, ikke så mye implementering
Mens den skjulte koden som ble oppdaget i Gigabyte-hovedkortets fastvare antagelig var ment som et ufarlig verktøy for fastvareoppdateringer, har forskere identifisert betydelige sikkerhetsfeil i implementeringen. Disse sårbarhetene skaper en potensiell risiko for at ondsinnede aktører utnytter mekanismen, som kan bruke den til å installere skadelig programvare i stedet for det tiltenkte Gigabyte-programmet.
Det som kompliserer problemet er det faktum at oppdateringsprogrammet startes fra datamaskinens fastvare, og opererer utenfor brukerens operativsystem. Dette gjør det utrolig utfordrende for brukere å oppdage eller fjerne den problematiske koden, noe som ytterligere forverrer den potensielle effekten av sikkerhetssårbarheten.
Mer enn 270 modeller involvert
For å se om datamaskinens hovedkort inneholder den aktuelle bakdøren, naviger til "Start" i Windows og åpne "Systeminformasjon".
Mens de undersøkte fastvarebasert ondsinnet kode, gjorde forskere en betydelig oppdagelse angående Gigabytes skjulte fastvaremekanisme. Dette funnet er spesielt bemerkelsesverdig ettersom sofistikerte hackere ofte bruker lignende taktikker. Overraskende nok flagget forskernes automatiske deteksjonsskanninger Gigabytes oppdateringsmekanisme for å delta i mistenkelige aktiviteter som minner om statsstøttede hackingverktøy. Spesielt innebar det å gjemme seg i fastvaren og stille kjøre et program som laster ned kode fra internett.
Gigabytes oppdateringsmekanisme alene har vakt bekymring blant brukere som er bekymret for utsiktene til stille kodeinstallasjoner gjennom et nesten umerkelig verktøy. Videre er det en genuin frykt for at Gigabytes mekanisme kan bli offer for utnyttelse av hackere som infiltrerer hovedkortprodusenten, og utnytter dens skjulte tilgang til et ondsinnet programvareforsyningskjedeangrep. Eclypsiums etterforskning avdekket imidlertid en enda mer alarmerende avsløring. Oppdateringsmekanismen, designet for å forbedre brukeropplevelsen, inneholder iøynefallende sårbarheter som har potensial til å bli kapret. Sjokkerende nok laster den ned kode til brukerens maskin uten å gjennomgå riktig autentisering, og i noen tilfeller bruker den til og med en usikker HTTP-tilkobling i stedet for den sikrere HTTPS.
Dette gapende sikkerhetshullet lar ondsinnede skuespillere orkestrere mann-i-midten-angrep, slik at de kan lure intetanende brukere ved å forfalske installasjonskilden. I hovedsak kan til og med et useriøst Wi-Fi-nettverk bli et fareinstrument, avskjære brukerens internettforbindelse og kompromittere systemets integritet.
I andre tilfeller gjør Gigabytes fastvaremekanisme det mulig for oppdateringsprogrammet å hente nedlastinger fra en lokal nettverkstilkoblet lagringsenhet (NAS). Denne funksjonen, tilsynelatende rettet mot å forenkle oppdateringer innenfor forretningsnettverk, unngår omfattende internettilgang for alle maskiner. Men når dette skjer, kan en ondsinnet aktør på samme nettverk svikefullt manipulere NAS-plasseringen, og i det skjulte erstatte autoriserte oppdateringer med sin egen skadevare.
En reparasjon kan fungere ... eller ikke?
Til tross for Gigabytes potensielle innsats for å løse fastvareproblemet, avsluttes ofte fastvareoppdateringer stille på brukernes maskiner på grunn av prosessens intrikate natur og utfordringen med å samkjøre fastvare med maskinvare. Denne avsløringen er dypt bekymrende, med tanke på det store antallet enheter som kan bli påvirket. Mens Gigabyte sannsynligvis ikke hadde noen ondsinnede eller svikefulle intensjoner med deres skjulte fastvareverktøy, undergraver sikkerhetssårbarheter i den skjulte koden under operativsystemet brukernes grunnleggende tillit til maskinene deres.