Backdoor Firmware знайдено на мільйонах материнських плат ПК
Кіберзлочинці дедалі частіше застосовують підступну тактику, приховуючи шкідливі програми в мікропрограмному забезпеченні UEFI комп’ютера — базовому коді, який відповідає за завантаження операційної системи. Однак ситуація стає ще більш тривожною, коли виробник материнської плати не тільки включає свій прихований бекдор у мікропрограму мільйонів комп’ютерів, але й не в змозі забезпечити належним чином цей вхід.
Нещодавно команда дослідників кібербезпеки, що спеціалізується на мікропрограмному забезпеченні, виявила прихований механізм, вбудований у мікропрограмне забезпечення материнських плат, виготовлених Gigabyte, відомою тайванською компанією, яка широко використовується в ігрових ПК і високопродуктивних комп’ютерах. Після перезавантаження комп’ютера з проблемною материнською платою Gigabyte прихований код у мікропрограмі непомітно запускає програму оновлення на комп’ютері. Згодом ця програма завантажує та запускає іншу частину програмного забезпечення без відома або згоди користувача.
Зміст
Наміри хороші, реалізація не дуже
Хоча прихований код, виявлений у мікропрограмі материнської плати Gigabyte, імовірно, був призначений як нешкідливий інструмент для оновлення мікропрограми, дослідники виявили значні недоліки безпеки в його реалізації. Ці вразливості створюють потенційний ризик використання механізму зловмисниками, які можуть використовувати його для встановлення зловмисного програмного забезпечення замість передбаченої програми Gigabyte.
Проблему ускладнює той факт, що програма оновлення запускається з мікропрограми комп’ютера, яка працює поза межами операційної системи користувача. Через це користувачам стає неймовірно складно виявити або видалити проблемний код, що ще більше посилює потенційний вплив вразливості безпеки.
Залучено понад 270 моделей
Щоб перевірити, чи материнська плата вашого комп’ютера містить відповідний бекдор, перейдіть до «Пуск» у Windows і перейдіть до «Інформації про систему».
Досліджуючи шкідливий код на основі мікропрограм, дослідники зробили важливе відкриття щодо прихованого механізму мікропрограми Gigabyte. Цей висновок особливо примітний, оскільки досвідчені хакери часто використовують подібні тактики. Дивно, але автоматичне сканування дослідників виявило, що механізм оновлення Gigabyte бере участь у підозрілих діях, що нагадують державні інструменти злому. Зокрема, це передбачало приховування в мікропрограмному забезпеченні та тихе виконання програми, яка завантажує код з Інтернету.
Один лише механізм оновлення Gigabyte викликав занепокоєння серед користувачів, які побоюються перспективи тихого встановлення коду за допомогою майже непомітного інструменту. Крім того, існує щире побоювання, що механізм Gigabyte може стати жертвою експлуатації з боку хакерів, які проникають на виробника материнської плати, використовуючи його прихований доступ для нечесної атаки на ланцюжок поставок програмного забезпечення. Однак розслідування Eclypsium виявило ще більш тривожне відкриття. Механізм оновлення, призначений для покращення взаємодії з користувачем, містить кричущі вразливості, які можуть бути зловмисно зламані. Шокує те, що він завантажує код на комп’ютер користувача без належної автентифікації, а в деяких випадках навіть використовує незахищене HTTP-з’єднання замість безпечнішого HTTPS.
Ця зяюча діра в безпеці дозволяє зловмисникам організовувати атаки типу "людина посередині", дозволяючи їм вводити в оману нічого не підозрюючих користувачів шляхом підробки джерела встановлення. По суті, навіть шахрайська мережа Wi-Fi може стати інструментом небезпеки, перехоплюючи інтернет-з’єднання користувача та порушуючи цілісність його системи.
В інших випадках механізм мікропрограми Gigabyte дозволяє програмі оновлення отримувати завантаження з пристрою зберігання даних, підключеного до локальної мережі (NAS). Ця функція, здавалося б, спрямована на полегшення оновлень у бізнес-мережах, уникає великого доступу до Інтернету для всіх машин. Однак, коли це відбувається, зловмисник у тій самій мережі може обманним шляхом маніпулювати розташуванням NAS, таємно замінюючи авторизовані оновлення власним шкідливим програмним забезпеченням.
Виправлення може спрацювати ... чи ні?
Незважаючи на потенційні зусилля Gigabyte щодо вирішення проблеми мікропрограми, оновлення мікропрограми часто мовчки завершуються на комп’ютерах користувачів через складний характер процесу та складність узгодження мікропрограми з апаратним забезпеченням. Це відкриття викликає глибоке занепокоєння, враховуючи величезну кількість пристроїв, на які може вплинути. Хоча Gigabyte, ймовірно, не мала зловмисних чи обманних намірів із своїм прихованим інструментом мікропрограми, уразливі місця в прихованому коді під операційною системою підривають фундаментальну довіру користувачів до їхніх машин.