Milyonlarca PC Anakartında Arka Kapı Bellenimi Bulundu
Siber suçlular, kötü amaçlı programları bir bilgisayarın UEFI ürün yazılımına (işletim sistemini başlatmaktan sorumlu temel kod) gizleyerek giderek daha fazla sinsi bir taktik kullanıyor. Ancak, bir anakart üreticisi milyonlarca bilgisayarın sabit yazılımına kendi gizli arka kapısını dahil etmekle kalmayıp bu girişi gerektiği gibi güvence altına almayı başaramazsa durum daha da endişe verici hale gelir.
Son zamanlarda, üretici yazılımı konusunda uzmanlaşmış bir siber güvenlik araştırmacıları ekibi, oyun PC'lerinde ve yüksek performanslı bilgisayarlarda yaygın olarak kullanılan tanınmış bir Tayvanlı şirket olan Gigabyte tarafından üretilen anakartların ürün yazılımına gömülü gizli bir mekanizma keşfetti. Etkilenen Gigabyte anakarta sahip bir bilgisayarı yeniden başlattığınızda, sabit yazılım içindeki gizli kod, bilgisayardaki bir güncelleyici programı gizlice tetikler. Daha sonra, bu program kullanıcının bilgisi veya onayı olmadan başka bir yazılım parçasını indirir ve çalıştırır.
İçindekiler
Niyet İyi, Uygulama Çok Fazla Değil
Gigabyte anakart donanım yazılımında keşfedilen gizli kodun, ürün yazılımı güncellemeleri için zararsız bir araç olması amaçlanmış olsa da, araştırmacılar, uygulanmasında önemli güvenlik kusurları belirlediler. Bu güvenlik açıkları, amaçlanan Gigabyte programı yerine kötü amaçlı yazılım yüklemek için mekanizmayı kullanabilen kötü niyetli aktörlerin mekanizmayı kullanmalarına yönelik potansiyel bir risk oluşturur.
Sorunu daha da karmaşık hale getiren şey, güncelleyici programın, kullanıcının işletim sisteminin dışında çalışan bilgisayarın ürün yazılımından başlatılmasıdır. Bu, kullanıcıların sorunlu kodu algılamasını veya kaldırmasını inanılmaz derecede zorlaştırarak güvenlik açığının potansiyel etkisini daha da artırır.
Dahil Olan 270'den Fazla Model
Bilgisayarınızın ana kartının söz konusu arka kapıyı içerip içermediğini görmek için Windows'ta "Başlat"a gidin ve "Sistem Bilgileri"ne erişin.
Üretici yazılımı tabanlı kötü amaçlı kodu araştıran araştırmacılar, Gigabyte'ın gizli ürün yazılımı mekanizması hakkında önemli bir keşifte bulundu. Bu bulgu özellikle dikkat çekicidir, çünkü sofistike bilgisayar korsanları sıklıkla benzer taktikler kullanır. Şaşırtıcı bir şekilde, araştırmacıların otomatik algılama taramaları, Gigabyte'ın güncelleyici mekanizmasını, devlet destekli bilgisayar korsanlığı araçlarını anımsatan şüpheli faaliyetlerde bulunmak için işaretledi. Spesifik olarak, ürün yazılımı içinde saklanmayı ve internetten kod indiren bir programı sessizce çalıştırmayı içeriyordu.
Gigabyte'ın güncelleyici mekanizması tek başına, neredeyse algılanamayan bir araç aracılığıyla sessiz kod yükleme olasılığı konusunda endişeli olan kullanıcılar arasında endişelere yol açtı. Ayrıca, Gigabyte'ın mekanizmasının, hain bir yazılım tedarik zinciri saldırısı için gizli erişimini kullanarak anakart üreticisine sızan bilgisayar korsanları tarafından sömürülebileceğine dair gerçek bir korku var. Ancak Eclypsium'un araştırması daha da endişe verici bir gerçeği ortaya çıkardı. Kullanıcı deneyimini geliştirmek için tasarlanan güncelleme mekanizması, kötü niyetli olarak ele geçirilme potansiyeline sahip göze batan güvenlik açıkları içeriyor. Şaşırtıcı bir şekilde, kodu uygun kimlik doğrulamasından geçmeden kullanıcının makinesine indirir ve hatta bazı durumlarda daha güvenli HTTPS yerine güvensiz bir HTTP bağlantısı kullanır.
Bu açık güvenlik açığı, kötü niyetli aktörlerin ortadaki adam saldırılarını düzenlemelerine olanak tanıyarak kurulum kaynağını taklit ederek hiçbir şeyden haberi olmayan kullanıcıları aldatmalarına olanak tanır. Özünde, hileli bir Wi-Fi ağı bile kullanıcının internet bağlantısını keserek ve sistem bütünlüğünü tehlikeye atarak bir tehlike aracı haline gelebilir.
Diğer durumlarda, Gigabyte'ın donanım yazılımı mekanizması, güncelleyicinin indirmeleri yerel bir ağa bağlı depolama aygıtından (NAS) almasını sağlar. Görünüşe göre iş ağlarındaki güncellemeleri kolaylaştırmayı amaçlayan bu özellik, tüm makinelerin kapsamlı internet erişimini engelliyor. Bununla birlikte, bu meydana geldiğinde, aynı ağdaki kötü niyetli bir aktör, yetkili güncellemeleri gizlice kendi kötü amaçlı yazılımlarıyla değiştirerek NAS konumunu aldatıcı bir şekilde manipüle edebilir.
Bir Düzeltme İşe Yarayabilir mi, Çalışmayabilir mi?
Gigabyte'ın aygıt yazılımı sorununu çözmeye yönelik potansiyel çabalarına rağmen, aygıt yazılımı güncellemeleri, sürecin karmaşık doğası ve aygıt yazılımını donanımla uyumlu hale getirmenin zorluğu nedeniyle kullanıcıların makinelerinde sıklıkla sessiz bir şekilde sona erer. Etkilenebilecek çok sayıda cihaz göz önüne alındığında, bu açıklama derinden endişe verici. Gigabyte'ın gizli ürün yazılımı aracıyla muhtemelen kötü niyetli veya aldatıcı bir niyeti olmasa da, işletim sisteminin altındaki gizli koddaki güvenlik açıkları, kullanıcıların makinelerine olan temel güvenini baltalıyor.