Natagpuan ang Backdoor Firmware sa Milyun-milyong mga PC Motherboard
Ang mga cybercriminal ay lalong gumamit ng isang mapanlinlang na taktika sa pamamagitan ng pagtatago ng mga malisyosong programa sa loob ng UEFI firmware ng isang computer—ang pangunahing code na responsable sa pag-boot ng operating system. Gayunpaman, ang sitwasyon ay nagiging mas nakakaalarma kapag ang isang tagagawa ng motherboard ay hindi lamang kasama ang nakatagong backdoor nito sa firmware ng milyun-milyong mga computer ngunit nabigo upang ma-secure ang pasukan na iyon nang maayos.
Kamakailan, natuklasan ng isang pangkat ng mga cybersecurity researcher na dalubhasa sa firmware ang isang nakatagong mekanismo na naka-embed sa firmware ng mga motherboard na ginawa ng Gigabyte, isang kilalang Taiwanese na kumpanya na malawakang ginagamit sa mga gaming PC at high-performance na mga computer. Sa pag-restart ng computer na may apektadong Gigabyte motherboard, ang nakatagong code sa loob ng firmware ay maingat na nagti-trigger ng updater program sa computer. Kasunod nito, ang program na ito ay nagda-download at nagsasagawa ng isa pang piraso ng software nang walang kaalaman o pahintulot ng user.
Talaan ng mga Nilalaman
Maganda ang Intensiyon, Hindi Napakarami ng Pagpapatupad
Habang ang nakatagong code na natuklasan sa Gigabyte motherboard firmware ay maaaring inilaan bilang isang hindi nakakapinsalang tool para sa pag-update ng firmware, ang mga mananaliksik ay natukoy ang mga makabuluhang bahid sa seguridad sa pagpapatupad nito. Lumilikha ang mga kahinaang ito ng potensyal na panganib ng mga malisyosong aktor na nagsasamantala sa mekanismo, na maaaring gumamit nito upang mag-install ng malware sa halip na ang nilalayong Gigabyte na programa.
Pinagsasama ang isyu ay ang katotohanan na ang updater program ay pinasimulan mula sa firmware ng computer, na tumatakbo sa labas ng larangan ng operating system ng user. Ginagawa nitong hindi kapani-paniwalang hamon para sa mga user na makita o maalis ang problemang code, na lalong nagpapalala sa potensyal na epekto ng kahinaan sa seguridad.
Mahigit 270 Modelo ang Kasangkot
Upang makita kung ang motherboard ng iyong computer ay naglalaman ng backdoor na pinag-uusapan, mag-navigate sa "Start" sa Windows at i-access ang "System Information."
Habang sinisiyasat ang malisyosong code na nakabatay sa firmware, nakagawa ang mga mananaliksik ng makabuluhang pagtuklas tungkol sa nakatagong mekanismo ng firmware ng Gigabyte. Ang paghahanap na ito ay partikular na kapansin-pansin dahil ang mga sopistikadong hacker ay madalas na gumagamit ng mga katulad na taktika. Nakapagtataka, na-flag ng mga automated detection scan ng mga mananaliksik ang mekanismo ng updater ng Gigabyte para sa pagsali sa mga kahina-hinalang aktibidad na nakapagpapaalaala sa mga tool sa pag-hack na inisponsor ng estado. Sa partikular, kasangkot dito ang pagtatago sa loob ng firmware at tahimik na pagpapatupad ng isang program na nagda-download ng code mula sa internet.
Ang mekanismo ng updater ng Gigabyte lamang ay nagpasiklab ng mga alalahanin sa mga user na nag-aalala tungkol sa pag-asam ng mga silent code installation sa pamamagitan ng halos hindi mahahalata na tool. Higit pa rito, mayroong isang tunay na takot na ang mekanismo ng Gigabyte ay maaaring maging biktima ng pagsasamantala ng mga hacker na lumusot sa tagagawa ng motherboard, na ginagamit ang nakatagong pag-access nito para sa isang kasuklam-suklam na pag-atake ng supply chain ng software. Gayunpaman, ang pagsisiyasat ng Eclypsium ay nakahukay ng mas nakababahala na paghahayag. Ang mekanismo ng pag-update, na idinisenyo upang mapahusay ang karanasan ng user, ay naglalaman ng mga matingkad na kahinaan na may potensyal na ma-hijack nang malisyoso. Nakakagulat, nagda-download ito ng code sa makina ng user nang hindi sumasailalim sa wastong pagpapatunay, at sa ilang pagkakataon, gumagamit pa ito ng hindi secure na koneksyon sa HTTP sa halip na ang mas secure na HTTPS.
Ang nakanganga na butas ng seguridad na ito ay nagbibigay-daan sa mga malevolent na aktor na mag-orchestrate ng man-in-the-middle attacks, na nagpapahintulot sa kanila na linlangin ang mga hindi mapag-aalinlanganang user sa pamamagitan ng panggagaya sa pinagmulan ng pag-install. Sa esensya, kahit na ang isang malupit na Wi-Fi network ay maaaring maging instrumento ng panganib, na humahadlang sa koneksyon sa internet ng user at nakompromiso ang kanilang integridad ng system.
Sa ibang mga pagkakataon, ang mekanismo ng firmware ng Gigabyte ay nagbibigay-daan sa updater na kumuha ng mga pag-download mula sa isang lokal na network-attached storage device (NAS). Ang tampok na ito, na tila naglalayong mapadali ang mga update sa loob ng mga network ng negosyo, ay umiiwas sa malawak na internet access ng lahat ng mga makina. Gayunpaman, kapag nangyari ito, ang isang malisyosong aktor sa parehong network ay maaaring mapanlinlang na manipulahin ang lokasyon ng NAS, palihim na pinapalitan ang mga awtorisadong update ng sarili nilang malware.
Ang isang Pag-aayos ay Maaaring Gumagana ... o Hindi?
Sa kabila ng mga potensyal na pagsisikap ng Gigabyte na tugunan ang isyu ng firmware, ang mga update ng firmware ay madalas na tahimik na natatapos sa mga makina ng mga user dahil sa masalimuot na katangian ng proseso at ang hamon ng pag-align ng firmware sa hardware. Ang paghahayag na ito ay labis na nababahala, kung isasaalang-alang ang napakaraming device na maaaring maapektuhan. Bagama't malamang na walang malisyoso o mapanlinlang na intensyon ang Gigabyte sa kanilang nakatagong firmware tool, ang mga kahinaan sa seguridad sa loob ng nakatagong code sa ilalim ng operating system ay sumisira sa pangunahing tiwala ng mga user sa kanilang mga makina.