พบเฟิร์มแวร์แบ็คดอร์บนเมนบอร์ดพีซีหลายล้านเครื่อง

อาชญากรไซเบอร์ใช้กลยุทธ์ที่ชั่วร้ายมากขึ้นเรื่อยๆ โดยการปกปิดโปรแกรมที่เป็นอันตรายภายในเฟิร์มแวร์ UEFI ของคอมพิวเตอร์ ซึ่งเป็นรหัสพื้นฐานที่รับผิดชอบในการบูทระบบปฏิบัติการ อย่างไรก็ตาม สถานการณ์จะยิ่งน่าตกใจมากขึ้นเมื่อผู้ผลิตเมนบอร์ดไม่เพียงแต่ใส่ แบ็คดอร์ ที่ซ่อนอยู่ในเฟิร์มแวร์ของคอมพิวเตอร์หลายล้านเครื่องเท่านั้น แต่ยังไม่สามารถรักษาความปลอดภัยทางเข้านั้นได้อย่างถูกต้อง

เมื่อเร็ว ๆ นี้ ทีมนักวิจัยด้านความปลอดภัยในโลกไซเบอร์ที่เชี่ยวชาญด้านเฟิร์มแวร์ได้ค้นพบกลไกที่ซ่อนอยู่ซึ่งฝังอยู่ในเฟิร์มแวร์ของเมนบอร์ดที่ผลิตโดย Gigabyte ซึ่งเป็นบริษัทชื่อดังของไต้หวันที่ใช้กันอย่างแพร่หลายในพีซีสำหรับเล่นเกมและคอมพิวเตอร์ประสิทธิภาพสูง เมื่อรีสตาร์ทคอมพิวเตอร์ด้วยเมนบอร์ด Gigabyte ที่ได้รับผลกระทบ รหัสที่ซ่อนอยู่ภายในเฟิร์มแวร์จะเรียกใช้โปรแกรมอัพเดตบนคอมพิวเตอร์อย่างระมัดระวัง ต่อจากนั้น โปรแกรมนี้จะดาวน์โหลดและเรียกใช้ซอฟต์แวร์ชิ้นอื่นโดยที่ผู้ใช้ไม่ทราบหรือไม่ยินยอม

เจตนาดี การนำไปใช้ไม่มาก

ในขณะที่รหัสที่ซ่อนอยู่ซึ่งถูกค้นพบในเฟิร์มแวร์ของเมนบอร์ด Gigabyte นั้นมีไว้เพื่อให้เป็นเครื่องมือที่ไม่เป็นอันตรายสำหรับการอัปเดตเฟิร์มแวร์ นักวิจัยได้ระบุข้อบกพร่องด้านความปลอดภัยที่สำคัญในการใช้งาน ช่องโหว่เหล่านี้สร้างความเสี่ยงที่อาจเกิดขึ้นจากผู้ประสงค์ร้ายที่ใช้ประโยชน์จากกลไกนี้ ซึ่งสามารถใช้มันเพื่อติดตั้งมัลแวร์แทนโปรแกรม Gigabyte ที่ต้องการ

การรวมกันของปัญหาคือข้อเท็จจริงที่ว่าโปรแกรมอัพเดตเริ่มต้นจากเฟิร์มแวร์ของคอมพิวเตอร์ ซึ่งทำงานนอกขอบเขตของระบบปฏิบัติการของผู้ใช้ สิ่งนี้ทำให้ผู้ใช้ตรวจจับหรือลบโค้ดที่มีปัญหาได้ยากอย่างไม่น่าเชื่อ ยิ่งทำให้ผลกระทบที่อาจเกิดขึ้นจากช่องโหว่ด้านความปลอดภัยรุนแรงยิ่งขึ้นไปอีก

มากกว่า 270 รุ่นที่เกี่ยวข้อง

หากต้องการดูว่าเมนบอร์ดของคอมพิวเตอร์ของคุณมีประตูหลังที่เป็นปัญหาหรือไม่ ให้ไปที่ "เริ่ม" ใน Windows และเข้าถึง "ข้อมูลระบบ"

ในขณะที่ตรวจสอบรหัสที่เป็นอันตรายบนเฟิร์มแวร์ นักวิจัยได้ค้นพบที่สำคัญเกี่ยวกับกลไกเฟิร์มแวร์ที่ซ่อนอยู่ของ Gigabyte การค้นพบนี้มีความโดดเด่นเป็นพิเศษเนื่องจากแฮ็กเกอร์ที่มีความซับซ้อนมักใช้กลวิธีที่คล้ายกัน น่าแปลกที่การสแกนการตรวจจับอัตโนมัติของนักวิจัยตั้งค่าสถานะกลไกตัวอัปเดตของ Gigabyte ว่ามีส่วนร่วมในกิจกรรมที่น่าสงสัยซึ่งชวนให้นึกถึงเครื่องมือแฮ็กที่ได้รับการสนับสนุนจากรัฐ โดยเฉพาะอย่างยิ่ง มันเกี่ยวข้องกับการซ่อนตัวภายในเฟิร์มแวร์และการเรียกใช้โปรแกรมที่ดาวน์โหลดโค้ดจากอินเทอร์เน็ตอย่างเงียบ ๆ

กลไกการอัปเดตของ Gigabyte เพียงอย่างเดียวได้จุดประกายความกังวลในหมู่ผู้ใช้ที่วิตกเกี่ยวกับโอกาสของการติดตั้งโค้ดแบบเงียบผ่านเครื่องมือที่แทบมองไม่เห็น นอกจากนี้ยังมีความกลัวอย่างแท้จริงว่ากลไกของ Gigabyte อาจตกเป็นเหยื่อของการแสวงประโยชน์จากแฮ็กเกอร์ที่แทรกซึมเข้าไปในผู้ผลิตเมนบอร์ด โดยใช้ประโยชน์จากการเข้าถึงที่ซ่อนอยู่สำหรับการโจมตีห่วงโซ่อุปทานของซอฟต์แวร์ที่ชั่วร้าย อย่างไรก็ตาม การสืบสวนของ Eclypsium ค้นพบการเปิดเผยที่น่าตกใจยิ่งกว่า กลไกการอัพเดทออกแบบมาเพื่อปรับปรุงประสบการณ์ผู้ใช้ มีช่องโหว่ที่ชัดเจนซึ่งมีโอกาสถูกจี้โดยประสงค์ร้าย น่าตกใจที่มันดาวน์โหลดโค้ดไปยังเครื่องของผู้ใช้โดยไม่ผ่านการพิสูจน์ตัวตนที่เหมาะสม และในบางกรณี มันใช้การเชื่อมต่อ HTTP ที่ไม่ปลอดภัยแทน HTTPS ที่ปลอดภัยกว่าด้วยซ้ำ

ช่องโหว่ด้านความปลอดภัยที่เปิดกว้างนี้ช่วยให้ผู้ไม่ประสงค์ดีสามารถวางแผนการโจมตีแบบคนกลาง ทำให้สามารถหลอกลวงผู้ใช้ที่ไม่สงสัยด้วยการปลอมแปลงแหล่งที่มาของการติดตั้ง โดยพื้นฐานแล้ว แม้แต่เครือข่าย Wi-Fi ปลอมก็อาจกลายเป็นเครื่องมือที่ก่อให้เกิดอันตราย ขัดขวางการเชื่อมต่ออินเทอร์เน็ตของผู้ใช้และทำให้ความสมบูรณ์ของระบบลดลง

ในกรณีอื่นๆ กลไกเฟิร์มแวร์ของ Gigabyte ช่วยให้ตัวอัปเดตดึงข้อมูลการดาวน์โหลดจากอุปกรณ์จัดเก็บข้อมูลที่เชื่อมต่อกับเครือข่ายท้องถิ่น (NAS) ฟีเจอร์นี้ดูเหมือนจะมีจุดประสงค์เพื่ออำนวยความสะดวกในการอัปเดตภายในเครือข่ายธุรกิจ หลีกเลี่ยงการเข้าถึงอินเทอร์เน็ตที่กว้างขวางโดยทุกเครื่อง อย่างไรก็ตาม เมื่อสิ่งนี้เกิดขึ้น ผู้ประสงค์ร้ายในเครือข่ายเดียวกันสามารถหลอกใช้ตำแหน่ง NAS โดยแอบแฝงแทนที่การอัปเดตที่ได้รับอนุญาตด้วยมัลแวร์ของตนเอง

การแก้ไขอาจใช้งานได้ ... หรือไม่?

แม้ว่า Gigabyte จะพยายามแก้ไขปัญหาเฟิร์มแวร์ แต่การอัปเดตเฟิร์มแวร์มักจะยุติลงในเครื่องของผู้ใช้อย่างเงียบๆ เนื่องจากธรรมชาติของกระบวนการที่ซับซ้อนและความท้าทายในการปรับเฟิร์มแวร์กับฮาร์ดแวร์ การเปิดเผยนี้เกี่ยวข้องกับอุปกรณ์จำนวนมากที่อาจได้รับผลกระทบ แม้ว่า Gigabyte อาจไม่มีเจตนาร้ายหรือหลอกลวงด้วยเครื่องมือเฟิร์มแวร์ที่ปกปิด แต่ช่องโหว่ด้านความปลอดภัยภายในรหัสที่ซ่อนอยู่ภายใต้ระบบปฏิบัติการจะบั่นทอนความไว้วางใจขั้นพื้นฐานของผู้ใช้ในเครื่องของตน