Бацкдоор фирмвер пронађен на милионима ПЦ матичних плоча
Сајбер-криминалци су све више користили лукаву тактику скривајући злонамерне програме унутар УЕФИ фирмвера рачунара — основног кода одговорног за покретање оперативног система. Међутим, ситуација постаје још алармантнија када произвођач матичне плоче не само да укључи свој скривени бацкдоор у фирмвер милиона рачунара, већ и не успе да обезбеди тај улаз како треба.
Недавно је тим истраживача сајбер безбедности специјализованих за фирмвер открио скривени механизам уграђен у фирмвер матичних плоча које производи Гигабите, реномирана тајванска компанија која се широко користи у рачунарима за игре и рачунарима високих перформанси. Након поновног покретања рачунара са погођеном Гигабите матичном плочом, скривени код унутар фирмвера дискретно покреће програм за ажурирање на рачунару. Након тога, овај програм преузима и извршава други део софтвера без знања или сагласности корисника.
Преглед садржаја
Намере добре, имплементација не толико
Док је скривени код откривен у фирмверу Гигабите матичне плоче вероватно био замишљен као безопасан алат за ажурирање фирмвера, истраживачи су идентификовали значајне безбедносне пропусте у његовој примени. Ове рањивости стварају потенцијални ризик да злонамерни актери искористе механизам, који би могли да га искористе за инсталирање малвера уместо предвиђеног Гигабите програма.
Проблем додатно отежава чињеница да се програм за ажурирање покреће из фирмвера рачунара и ради ван домена оперативног система корисника. Ово чини невероватним изазовом за кориснике да открију или уклоне проблематичан код, што додатно погоршава потенцијални утицај безбедносне рањивости.
Укључено је више од 270 модела
Да бисте видели да ли матична плоча вашег рачунара садржи дотична задња врата, идите на „Старт“ у Виндовс-у и приступите „Информацијама о систему“.
Истражујући злонамерни код заснован на фирмверу, истраживачи су дошли до значајног открића у вези са Гигабитеовим скривеним механизмом фирмвера. Овај налаз је посебно приметан јер софистицирани хакери често користе сличне тактике. Изненађујуће, аутоматизовано скенирање истраживача означило је Гигабитеов механизам за ажурирање за укључивање у сумњиве активности које подсећају на хакерске алате које спонзорише држава. Конкретно, то је укључивало скривање унутар фирмвера и тихо извршавање програма који преузима код са интернета.
Сам Гигабитеов механизам за ажурирање изазвао је забринутост међу корисницима који се плаше могућности тихе инсталације кода путем готово неприметне алатке. Штавише, постоји истински страх да би Гигабитеов механизам могао постати жртва експлоатације од стране хакера који се инфилтрирају у произвођача матичне плоче, користећи његов скривени приступ за подли напад на ланац набавке софтвера. Међутим, Ецлипсиумова истрага је открила још алармантније откриће. Механизам ажурирања, дизајниран да побољша корисничко искуство, садржи очигледне рањивости које имају потенцијал да буду злонамерно преузете. Шокантно, преузима код на машину корисника без одговарајуће аутентификације, а у неким случајевима чак користи несигурну ХТТП везу уместо безбеднијег ХТТПС-а.
Ова зјапећа безбедносна рупа омогућава злонамерним актерима да оркестрирају нападе човека у средини, омогућавајући им да преваре несуђене кориснике лажирањем извора инсталације. У суштини, чак и лажна Ви-Фи мрежа може постати инструмент опасности, пресретање интернет везе корисника и угрожавање интегритета њиховог система.
У другим случајевима, Гигабитеов механизам фирмвера омогућава ажурирању да преузме преузимања са локалног мрежног уређаја за складиштење (НАС). Ова функција, наизглед усмерена на олакшавање ажурирања у оквиру пословних мрежа, избегава широк приступ интернету свих машина. Међутим, када се то догоди, злонамерни актер на истој мрежи може на превару да манипулише НАС локацијом, кришом замењујући овлашћена ажурирања сопственим малвером.
Поправка би могла да функционише... или не?
Упркос потенцијалним напорима компаније Гигабите да реши проблем фирмвера, ажурирања фирмвера се често тихо завршавају на машинама корисника због сложене природе процеса и изазова усклађивања фирмвера са хардвером. Ово откриће је дубоко забрињавајуће, с обзиром на огроман број уређаја који би могли бити погођени. Иако Гигабите вероватно није имао злонамерне или лажне намере са својим скривеним фирмверским алатом, безбедносне рањивости у скривеном коду испод оперативног система поткопавају фундаментално поверење корисника у њихове машине.