Firmware Backdoor găsit pe milioane de plăci de bază pentru PC
Criminalii cibernetici au folosit din ce în ce mai mult o tactică ascuțită prin ascunderea programelor rău intenționate în firmware-ul UEFI al unui computer - codul fundamental responsabil pentru pornirea sistemului de operare. Cu toate acestea, situația devine și mai alarmantă atunci când un producător de plăci de bază nu numai că include ușa sa ascunsă în firmware-ul a milioane de computere, dar nu reușește să securizeze în mod corespunzător acea intrare.
Recent, o echipă de cercetători în securitate cibernetică specializată în firmware a descoperit un mecanism ascuns încorporat în firmware-ul plăcilor de bază fabricate de Gigabyte, o companie renumită din Taiwan, utilizată pe scară largă în computerele de gaming și computerele de înaltă performanță. La repornirea unui computer cu placa de bază Gigabyte afectată, codul ascuns din firmware declanșează discret un program de actualizare pe computer. Ulterior, acest program descarcă și execută o altă bucată de software fără știrea sau acordul utilizatorului.
Cuprins
Intenții bune, implementare nu atât de mult
În timp ce codul ascuns descoperit în firmware-ul plăcii de bază Gigabyte a fost probabil conceput ca un instrument inofensiv pentru actualizările de firmware, cercetătorii au identificat defecte de securitate semnificative în implementarea acestuia. Aceste vulnerabilități creează un risc potențial ca actorii rău intenționați să exploateze mecanismul, care l-ar putea folosi pentru a instala malware în locul programului Gigabyte intenționat.
Problema agravează faptul că programul de actualizare este inițiat de la firmware-ul computerului, funcționând în afara domeniului sistemului de operare al utilizatorului. Acest lucru face ca utilizatorii să detecteze sau să elimine codul problematic să fie incredibil de dificil, exacerband și mai mult impactul potențial al vulnerabilității de securitate.
Peste 270 de modele implicate
Pentru a vedea dacă placa de bază a computerului dvs. conține ușa din spate în cauză, navigați la „Start” în Windows și accesați „Informații de sistem”.
În timp ce investigau codul rău intenționat bazat pe firmware, cercetătorii au făcut o descoperire semnificativă cu privire la mecanismul de firmware ascuns al Gigabyte. Această constatare este deosebit de notabilă, deoarece hackerii sofisticați folosesc frecvent tactici similare. În mod surprinzător, scanările de detectare automată ale cercetătorilor au semnalat mecanismul de actualizare al Gigabyte pentru angajarea în activități suspecte care amintesc de instrumentele de hacking sponsorizate de stat. Mai exact, a implicat ascunderea în firmware și executarea în tăcere a unui program care descarcă cod de pe internet.
Doar mecanismul de actualizare al Gigabyte a aprins îngrijorări în rândul utilizatorilor care sunt îngrijorați de perspectiva instalării codului silențios printr-un instrument aproape imperceptibil. În plus, există o teamă reală că mecanismul Gigabyte ar putea fi victima exploatării de către hackeri care se infiltrează în producătorul plăcii de bază, valorificând accesul ascuns al acestuia pentru un atac nefast al lanțului de aprovizionare cu software. Cu toate acestea, ancheta lui Eclypsium a scos la iveală o revelație și mai alarmantă. Mecanismul de actualizare, conceput pentru a îmbunătăți experiența utilizatorului, conține vulnerabilități flagrante care au potențialul de a fi deturnate în mod rău intenționat. În mod șocant, descarcă codul pe computerul utilizatorului fără a fi supus unei autentificări adecvate și, în unele cazuri, chiar utilizează o conexiune HTTP nesigură în loc de HTTPS mai sigur.
Această gaură de securitate deschisă permite actorilor răuvoitori să orchestreze atacuri de tip man-in-the-middle, permițându-le să înșele utilizatorii nebănuiți prin falsificarea sursei de instalare. În esență, chiar și o rețea Wi-Fi necinstită ar putea deveni un instrument de pericol, interceptând conexiunea la internet a utilizatorului și compromițând integritatea sistemului acestuia.
În alte cazuri, mecanismul firmware-ului Gigabyte permite actualizatorului să preia descărcări de pe un dispozitiv de stocare atașat la rețea (NAS) local. Această caracteristică, aparent menită să faciliteze actualizările în cadrul rețelelor de afaceri, evită accesul extins la internet de către toate mașinile. Cu toate acestea, atunci când se întâmplă acest lucru, un actor rău intenționat din aceeași rețea poate manipula înșelător locația NAS, înlocuind pe ascuns actualizările autorizate cu propriul malware.
O remediere ar putea funcționa... sau nu?
În ciuda eforturilor potențiale ale Gigabyte de a rezolva problema firmware-ului, actualizările firmware-ului se termină frecvent pe mașinile utilizatorilor din cauza naturii complicate a procesului și a provocării de a alinia firmware-ul cu hardware-ul. Această revelație este profund îngrijorătoare, având în vedere numărul mare de dispozitive care ar putea fi afectate. În timp ce Gigabyte probabil nu a avut intenții rău intenționate sau înșelătoare cu instrumentul firmware ascuns, vulnerabilitățile de securitate din codul ascuns de sub sistemul de operare subminează încrederea fundamentală a utilizatorilor în mașinile lor.