Backdoor Firmware najdemo na milijonih matičnih plošč osebnih računalnikov
Kibernetski kriminalci vse pogosteje uporabljajo zvito taktiko s prikrivanjem zlonamernih programov v strojno programsko opremo računalnika UEFI – temeljno kodo, odgovorno za zagon operacijskega sistema. Vendar postane situacija še bolj zaskrbljujoča, ko proizvajalec matične plošče ne le vključi svoja skrita zadnja vrata v vdelano programsko opremo milijonov računalnikov, ampak tega vhoda ne zavaruje pravilno.
Pred kratkim je skupina raziskovalcev kibernetske varnosti, specializiranih za vdelano programsko opremo, odkrila skriti mehanizem, vdelan v vdelano programsko opremo matičnih plošč, ki jih proizvaja Gigabyte, priznano tajvansko podjetje, ki se pogosto uporablja v igralnih računalnikih in visoko zmogljivih računalnikih. Po ponovnem zagonu računalnika s prizadeto matično ploščo Gigabyte skrita koda v vdelani programski opremi diskretno sproži program za posodabljanje v računalniku. Nato ta program prenese in zažene drugo programsko opremo brez vednosti ali soglasja uporabnika.
Kazalo
Nameni dobri, izvedba pa ne tako zelo
Čeprav je bila skrita koda, odkrita v vdelani programski opremi matične plošče Gigabyte, domnevno mišljena kot neškodljivo orodje za posodobitve vdelane programske opreme, so raziskovalci odkrili pomembne varnostne napake pri njeni izvedbi. Te ranljivosti ustvarjajo potencialno tveganje, da zlonamerni akterji izkoristijo mehanizem, ki bi ga lahko uporabili za namestitev zlonamerne programske opreme namesto predvidenega programa Gigabyte.
Težavo otežuje dejstvo, da se program za posodabljanje zažene iz vdelane programske opreme računalnika in deluje zunaj področja uporabnikovega operacijskega sistema. Zaradi tega je za uporabnike izjemen izziv odkriti ali odstraniti problematično kodo, kar še poslabša potencialni vpliv varnostne ranljivosti.
Vključenih je več kot 270 modelov
Če želite preveriti, ali matična plošča vašega računalnika vsebuje zadevna stranska vrata, se pomaknite do »Start« v sistemu Windows in odprite »Informacije o sistemu«.
Med raziskovanjem zlonamerne kode, ki temelji na vdelani programski opremi, so raziskovalci prišli do pomembnega odkritja glede Gigabyteovega prikritega mehanizma vdelane programske opreme. Ta ugotovitev je še posebej opazna, saj sofisticirani hekerji pogosto uporabljajo podobne taktike. Presenetljivo je, da so samodejni pregledi zaznavanja raziskovalcev Gigabytov mehanizem za posodabljanje označili za vpletenost v sumljive dejavnosti, ki spominjajo na državno sponzorirana hekerska orodja. Natančneje, vključevalo je skrivanje znotraj vdelane programske opreme in tiho izvajanje programa, ki prenaša kodo iz interneta.
Že samo Gigabytov mehanizem za posodabljanje je sprožil zaskrbljenost med uporabniki, ki so zaskrbljeni zaradi možnosti tihe namestitve kode prek skoraj neopaznega orodja. Poleg tega obstaja resničen strah, da bi lahko Gigabytov mehanizem postal žrtev izkoriščanja hekerjev, ki se infiltrirajo pri proizvajalcu matične plošče in izkoristijo njegov skriti dostop za nečeden napad na dobavno verigo programske opreme. Vendar pa je preiskava Eclypsiuma odkrila še bolj zaskrbljujoče razkritje. Mehanizem posodabljanja, zasnovan za izboljšanje uporabniške izkušnje, vsebuje očitne ranljivosti, ki bi lahko bile zlonamerno ugrabljene. Šokantno je, da prenese kodo na uporabnikov računalnik brez ustreznega preverjanja pristnosti, v nekaterih primerih pa celo uporabi nevarno povezavo HTTP namesto varnejšega HTTPS.
Ta zevajoča varnostna luknja omogoča zlonamernim akterjem, da orkestrirajo napade človeka na sredini, kar jim omogoča, da zavedejo nič hudega sluteče uporabnike s ponarejanjem vira namestitve. V bistvu lahko celo lažno omrežje Wi-Fi postane instrument nevarnosti, ki prestreže internetno povezavo uporabnika in ogrozi celovitost njegovega sistema.
V drugih primerih Gigabyteov mehanizem vdelane programske opreme omogoča posodobitvenemu programu, da pridobi prenose iz lokalne omrežne pomnilniške naprave (NAS). Ta funkcija, ki je na videz namenjena olajšanju posodobitev znotraj poslovnih omrežij, se izogne obsežnemu dostopu do interneta za vse naprave. Ko pa se to zgodi, lahko zlonamerni akter v istem omrežju na goljufivo manipulira z lokacijo NAS in prikrito zamenja pooblaščene posodobitve s svojo zlonamerno programsko opremo.
Popravek bi lahko deloval ... ali ne?
Kljub potencialnim prizadevanjem Gigabyte, da bi rešil težavo z vdelano programsko opremo, se posodobitve vdelane programske opreme pogosto tiho končajo na uporabniških strojih zaradi zapletene narave postopka in izziva usklajevanja vdelane programske opreme s strojno opremo. To razkritje je zelo zaskrbljujoče, če upoštevamo ogromno število naprav, ki bi lahko bile prizadete. Medtem ko Gigabyte verjetno ni imel zlonamernih ali goljufivih namenov s svojim skritim orodjem vdelane programske opreme, varnostne ranljivosti znotraj skrite kode pod operacijskim sistemom spodkopavajo temeljno zaupanje uporabnikov v njihove stroje.