Backdoor-firmware gevonden op miljoenen pc-moederborden
Cybercriminelen passen steeds vaker een sluwe tactiek toe door kwaadaardige programma's te verbergen in de UEFI-firmware van een computer - de fundamentele code die verantwoordelijk is voor het opstarten van het besturingssysteem. De situatie wordt echter nog alarmerender wanneer een fabrikant van moederborden niet alleen zijn verborgen achterdeur in de firmware van miljoenen computers opneemt, maar er ook niet in slaagt die ingang goed te beveiligen.
Onlangs heeft een team van cyberbeveiligingsonderzoekers die gespecialiseerd zijn in firmware een verborgen mechanisme ontdekt dat is ingebed in de firmware van moederborden die zijn vervaardigd door Gigabyte, een gerenommeerd Taiwanees bedrijf dat veel wordt gebruikt in gaming-pc's en krachtige computers. Bij het herstarten van een computer met het getroffen Gigabyte-moederbord, activeert de verborgen code in de firmware discreet een updateprogramma op de computer. Vervolgens downloadt en voert dit programma een ander stuk software uit zonder medeweten of toestemming van de gebruiker.
Inhoudsopgave
Intenties goed, uitvoering minder
Hoewel de verborgen code die in de firmware van het Gigabyte-moederbord werd ontdekt vermoedelijk bedoeld was als een onschadelijk hulpmiddel voor firmware-updates, hebben onderzoekers significante beveiligingsfouten in de implementatie ervan ontdekt. Deze kwetsbaarheden vormen een potentieel risico dat kwaadwillende actoren het mechanisme misbruiken en het kunnen gebruiken om malware te installeren in plaats van het bedoelde Gigabyte-programma.
Het probleem wordt nog verergerd door het feit dat het updateprogramma wordt gestart vanuit de firmware van de computer en buiten het domein van het besturingssysteem van de gebruiker werkt. Dit maakt het voor gebruikers ongelooflijk uitdagend om de problematische code te detecteren of te verwijderen, waardoor de potentiële impact van het beveiligingslek nog groter wordt.
Meer dan 270 modellen betrokken
Om te zien of het moederbord van uw computer de betreffende achterdeur bevat, navigeert u naar "Start" in Windows en opent u "Systeeminformatie".
Tijdens het onderzoeken van op firmware gebaseerde kwaadaardige code hebben onderzoekers een belangrijke ontdekking gedaan met betrekking tot het verborgen firmwaremechanisme van Gigabyte. Deze bevinding is vooral opmerkelijk omdat geavanceerde hackers vaak vergelijkbare tactieken toepassen. Verrassend genoeg markeerden de geautomatiseerde detectiescans van de onderzoekers Gigabyte's updater-mechanisme voor verdachte activiteiten die doen denken aan door de staat gesponsorde hacktools. Het ging met name om het verbergen in de firmware en het stilletjes uitvoeren van een programma dat code van internet downloadt.
Alleen al het updatemechanisme van Gigabyte heeft tot bezorgdheid geleid onder gebruikers die ongerust zijn over het vooruitzicht van stille code-installaties via een bijna onmerkbare tool. Bovendien bestaat er een oprechte vrees dat het mechanisme van Gigabyte het slachtoffer zou kunnen worden van uitbuiting door hackers die de fabrikant van het moederbord infiltreren en de verborgen toegang gebruiken voor een snode aanval op de toeleveringsketen van software. Het onderzoek van Eclypsium bracht echter een nog alarmerendere onthulling aan het licht. Het updatemechanisme, ontworpen om de gebruikerservaring te verbeteren, bevat flagrante kwetsbaarheden die mogelijk kwaadwillig kunnen worden gekaapt. Schokkend genoeg downloadt het code naar de computer van de gebruiker zonder de juiste authenticatie te ondergaan, en in sommige gevallen gebruikt het zelfs een onveilige HTTP-verbinding in plaats van het veiligere HTTPS.
Dit gapende beveiligingslek stelt kwaadwillende actoren in staat man-in-the-middle-aanvallen te orkestreren, waardoor ze nietsvermoedende gebruikers kunnen misleiden door de installatiebron te vervalsen. In wezen kan zelfs een malafide wifi-netwerk een instrument van gevaar worden, door de internetverbinding van de gebruiker te onderscheppen en de systeemintegriteit in gevaar te brengen.
In andere gevallen stelt het firmwaremechanisme van Gigabyte de updater in staat om downloads op te halen van een lokaal op het netwerk aangesloten opslagapparaat (NAS). Deze functie, schijnbaar gericht op het vergemakkelijken van updates binnen bedrijfsnetwerken, vermijdt uitgebreide internettoegang door alle machines. Wanneer dit echter gebeurt, kan een kwaadwillende actor op hetzelfde netwerk de NAS-locatie bedrieglijk manipuleren en geautoriseerde updates stiekem vervangen door hun eigen malware.
Een oplossing zou kunnen werken ... of niet?
Ondanks de mogelijke inspanningen van Gigabyte om het firmwareprobleem aan te pakken, worden firmware-updates vaak stilzwijgend beëindigd op de computers van gebruikers vanwege de ingewikkelde aard van het proces en de uitdaging om firmware af te stemmen op hardware. Deze onthulling is zeer zorgwekkend, gezien het grote aantal apparaten dat kan worden beïnvloed. Hoewel Gigabyte waarschijnlijk geen kwaadaardige of bedrieglijke bedoelingen had met hun verborgen firmwaretool, ondermijnen beveiligingsproblemen in de verborgen code onder het besturingssysteem het fundamentele vertrouwen van gebruikers in hun machines.