Backdoor Firmware hittades på miljontals PC-moderkort
Cyberbrottslingar har i allt högre grad använt en listig taktik genom att dölja skadliga program i en dators UEFI-firmware – den grundläggande koden som är ansvarig för att starta operativsystemet. Situationen blir dock ännu mer alarmerande när en moderkortstillverkare inte bara inkluderar sin dolda bakdörr i firmware på miljontals datorer utan inte lyckas säkra den ingången ordentligt.
Nyligen har ett team av cybersäkerhetsforskare som specialiserat sig på firmware upptäckt en dold mekanism inbäddad i firmware på moderkort tillverkade av Gigabyte, ett välkänt taiwanesiskt företag som ofta används i speldatorer och högpresterande datorer. Vid omstart av en dator med det påverkade Gigabyte-moderkortet utlöser den dolda koden i firmware diskret ett uppdateringsprogram på datorn. Därefter laddar detta program ner och kör en annan mjukvara utan användarens vetskap eller samtycke.
Innehållsförteckning
Intentioner bra, implementering inte så mycket
Medan den dolda koden som upptäcktes i Gigabyte-moderkortets firmware förmodligen var tänkt som ett ofarligt verktyg för firmwareuppdateringar, har forskare identifierat betydande säkerhetsbrister i dess implementering. Dessa sårbarheter skapar en potentiell risk för att illvilliga aktörer utnyttjar mekanismen, som kan använda den för att installera skadlig programvara istället för det avsedda Gigabyte-programmet.
Förvärrar problemet är det faktum att uppdateringsprogrammet initieras från datorns firmware, som fungerar utanför användarens operativsystem. Detta gör det otroligt utmanande för användare att upptäcka eller ta bort den problematiska koden, vilket ytterligare förvärrar den potentiella effekten av säkerhetssårbarheten.
Mer än 270 modeller inblandade
För att se om din dators moderkort innehåller bakdörren i fråga, navigera till "Start" i Windows och gå till "Systeminformation".
Medan de undersökte firmware-baserad skadlig kod gjorde forskare en betydande upptäckt angående Gigabytes dolda firmware-mekanism. Detta fynd är särskilt anmärkningsvärt eftersom sofistikerade hackare ofta använder liknande taktik. Överraskande nog flaggade forskarnas automatiska upptäcktsskanningar Gigabytes uppdateringsmekanism för att delta i misstänkta aktiviteter som påminner om statligt sponsrade hackningsverktyg. Specifikt handlade det om att gömma sig i firmware och tyst köra ett program som laddar ner kod från internet.
Enbart Gigabytes uppdateringsmekanism har väckt oro bland användare som är oroliga för möjligheten till tyst kodinstallationer genom ett nästan omärkligt verktyg. Dessutom finns det en genuin rädsla för att Gigabytes mekanism kan falla offer för exploatering av hackare som infiltrerar moderkortstillverkaren och utnyttjar dess dolda åtkomst för en skändlig programvara i leveranskedjan. Eclypsiums undersökning avslöjade dock ett ännu mer alarmerande avslöjande. Uppdateringsmekanismen, designad för att förbättra användarupplevelsen, innehåller uppenbara sårbarheter som har potential att kapas med uppsåt. Chockerande nog laddar den ner kod till användarens maskin utan att genomgå korrekt autentisering, och i vissa fall använder den till och med en osäker HTTP-anslutning istället för den säkrare HTTPS.
Detta gapande säkerhetshål tillåter illvilliga skådespelare att iscensätta man-in-the-midten-attacker, vilket gör att de kan lura intet ont anande användare genom att förfalska installationskällan. I huvudsak kan till och med ett oseriöst Wi-Fi-nätverk bli ett farligt instrument, fånga upp användarens internetanslutning och äventyra deras systemintegritet.
I andra fall gör Gigabytes firmware-mekanism det möjligt för uppdateringsprogrammet att hämta nedladdningar från en lokal nätverksansluten lagringsenhet (NAS). Denna funktion, som till synes syftar till att underlätta uppdateringar inom affärsnätverk, undviker omfattande internetåtkomst för alla maskiner. Men när detta inträffar kan en illvillig aktör i samma nätverk bedrägligt manipulera NAS-platsen och i smyg ersätta auktoriserade uppdateringar med sin egen skadliga programvara.
En fix kanske fungerar ... eller inte?
Trots Gigabytes potentiella ansträngningar för att lösa problemet med den fasta programvaran, avslutas uppdateringar av den fasta programvaran ofta tyst på användarnas maskiner på grund av processens intrikata karaktär och utmaningen att anpassa den fasta programvaran till hårdvaran. Denna avslöjande är djupt oroande, med tanke på det stora antalet enheter som kan påverkas. Medan Gigabyte sannolikt inte hade några skadliga eller bedrägliga avsikter med sitt dolda firmware-verktyg, undergräver säkerhetssårbarheter i den dolda koden under operativsystemet användarnas grundläggande förtroende för sina maskiner.