Phần mềm điều khiển cửa sau được tìm thấy trên hàng triệu bo mạch chủ PC
Tội phạm mạng ngày càng sử dụng một chiến thuật quỷ quyệt bằng cách che giấu các chương trình độc hại trong chương trình cơ sở UEFI của máy tính—mã cơ bản chịu trách nhiệm khởi động hệ điều hành. Tuy nhiên, tình hình thậm chí còn trở nên đáng báo động hơn khi một nhà sản xuất bo mạch chủ không chỉ đưa cửa hậu ẩn của mình vào phần sụn của hàng triệu máy tính mà còn không bảo vệ được lối vào đó đúng cách.
Gần đây, một nhóm các nhà nghiên cứu an ninh mạng chuyên về phần sụn đã phát hiện ra một cơ chế ẩn được nhúng trong phần sụn của bo mạch chủ do Gigabyte sản xuất, một công ty nổi tiếng của Đài Loan được sử dụng rộng rãi trong PC chơi game và máy tính hiệu năng cao. Khi khởi động lại máy tính có bo mạch chủ Gigabyte bị ảnh hưởng, mã ẩn trong phần sụn sẽ kích hoạt chương trình cập nhật trên máy tính một cách kín đáo. Sau đó, chương trình này tải xuống và thực thi một phần mềm khác mà người dùng không hề hay biết hoặc đồng ý.
Mục lục
Ý định tốt, thực hiện không quá nhiều
Mặc dù mã ẩn được phát hiện trong chương trình cơ sở của bo mạch chủ Gigabyte có lẽ được dự định là một công cụ vô hại để cập nhật chương trình cơ sở, nhưng các nhà nghiên cứu đã xác định được các lỗi bảo mật quan trọng trong quá trình triển khai. Những lỗ hổng này tạo ra nguy cơ tiềm ẩn về việc các tác nhân độc hại khai thác cơ chế, những kẻ có thể sử dụng nó để cài đặt phần mềm độc hại thay vì chương trình Gigabyte dự kiến.
Vấn đề phức tạp hơn là thực tế là chương trình cập nhật được bắt đầu từ chương trình cơ sở của máy tính, hoạt động bên ngoài lĩnh vực hệ điều hành của người dùng. Điều này khiến người dùng khó phát hiện hoặc xóa mã có vấn đề, làm trầm trọng thêm tác động tiềm tàng của lỗ hổng bảo mật.
Hơn 270 người mẫu tham gia
Để xem liệu bo mạch chủ máy tính của bạn có chứa cửa hậu được đề cập hay không, hãy điều hướng đến "Bắt đầu" trong Windows và truy cập "Thông tin hệ thống".
Trong khi điều tra mã độc dựa trên phần sụn, các nhà nghiên cứu đã có một khám phá quan trọng liên quan đến cơ chế phần sụn được che giấu của Gigabyte. Phát hiện này đặc biệt đáng chú ý vì các tin tặc tinh vi thường sử dụng các chiến thuật tương tự. Đáng ngạc nhiên, quá trình quét phát hiện tự động của các nhà nghiên cứu đã đánh dấu cơ chế cập nhật của Gigabyte vì đã tham gia vào các hoạt động đáng ngờ gợi nhớ đến các công cụ hack do nhà nước tài trợ. Cụ thể, nó liên quan đến việc ẩn trong phần sụn và âm thầm thực thi một chương trình tải xuống mã từ internet.
Chỉ riêng cơ chế cập nhật của Gigabyte đã gây ra mối lo ngại cho những người dùng lo ngại về khả năng cài đặt mã im lặng thông qua một công cụ gần như không thể nhận thấy. Hơn nữa, có một nỗi sợ hãi thực sự rằng cơ chế của Gigabyte có thể trở thành nạn nhân của việc khai thác bởi các tin tặc xâm nhập vào nhà sản xuất bo mạch chủ, tận dụng quyền truy cập ẩn của nó cho một cuộc tấn công chuỗi cung ứng phần mềm bất chính. Tuy nhiên, cuộc điều tra của Eclypsium đã phát hiện ra một tiết lộ thậm chí còn đáng báo động hơn. Cơ chế cập nhật, được thiết kế để nâng cao trải nghiệm người dùng, chứa các lỗ hổng rõ ràng có khả năng bị tấn công bằng ác ý. Thật đáng ngạc nhiên, nó tải mã xuống máy của người dùng mà không trải qua quá trình xác thực phù hợp và trong một số trường hợp, nó thậm chí còn sử dụng kết nối HTTP không an toàn thay vì HTTPS an toàn hơn.
Lỗ hổng bảo mật này cho phép những kẻ xấu dàn dựng các cuộc tấn công trung gian, cho phép chúng đánh lừa những người dùng cả tin bằng cách giả mạo nguồn cài đặt. Về bản chất, ngay cả một mạng Wi-Fi giả mạo cũng có thể trở thành một công cụ nguy hiểm, chặn kết nối internet của người dùng và ảnh hưởng đến tính toàn vẹn của hệ thống.
Trong các trường hợp khác, cơ chế chương trình cơ sở của Gigabyte cho phép trình cập nhật tìm nạp các bản tải xuống từ thiết bị lưu trữ gắn mạng cục bộ (NAS). Tính năng này, dường như nhằm mục đích tạo điều kiện cập nhật trong các mạng kinh doanh, tránh truy cập internet rộng rãi bởi tất cả các máy. Tuy nhiên, khi điều này xảy ra, một tác nhân độc hại trên cùng một mạng có thể thao túng vị trí NAS một cách gian dối, lén lút thay thế các bản cập nhật được ủy quyền bằng phần mềm độc hại của riêng chúng.
Bản sửa lỗi có thể hoạt động ... hay không?
Bất chấp những nỗ lực tiềm năng của Gigabyte để giải quyết vấn đề phần sụn, các bản cập nhật phần sụn thường kết thúc âm thầm trên máy của người dùng do tính chất phức tạp của quy trình và thách thức trong việc điều chỉnh phần sụn với phần cứng. Tiết lộ này gây lo ngại sâu sắc khi xem xét số lượng lớn các thiết bị có thể bị ảnh hưởng. Mặc dù Gigabyte có thể không có ý định xấu hoặc lừa đảo với công cụ phần sụn được che giấu của họ, nhưng các lỗ hổng bảo mật trong mã được che giấu bên dưới hệ điều hành làm suy yếu niềm tin cơ bản của người dùng vào máy của họ.