在数百万 PC 主板上发现后门固件
网络罪犯越来越多地采用一种狡猾的策略,将恶意程序隐藏在计算机的 UEFI 固件中——负责启动操作系统的基本代码。然而,当主板制造商不仅在数百万台计算机的固件中包含其隐藏后门而且未能正确保护该入口时,情况变得更加令人担忧。
最近,一组专门研究固件的网络安全研究人员发现了一种隐藏机制,该机制嵌入在技嘉制造的主板固件中,技嘉是台湾知名公司,广泛用于游戏 PC 和高性能计算机。使用受影响的技嘉主板重新启动计算机时,固件中的隐藏代码会谨慎地触发计算机上的更新程序。随后,该程序会在用户不知情或未同意的情况下下载并执行另一软件。
目录
意图很好,执行不那么多
虽然在技嘉主板固件中发现的隐藏代码可能是作为一种无害的固件更新工具,但研究人员发现其实施过程中存在重大安全漏洞。这些漏洞造成了恶意行为者利用该机制的潜在风险,他们可以利用它来安装恶意软件而不是预期的 Gigabyte 程序。
使问题更加复杂的是,更新程序是从计算机的固件启动的,在用户操作系统的范围之外运行。这使得用户很难检测或删除有问题的代码,进一步加剧了安全漏洞的潜在影响。
涉及超过270个模型
要查看您的计算机主板是否包含有问题的后门,请导航至 Windows 中的“开始”并访问“系统信息”。
在调查基于固件的恶意代码时,研究人员对技嘉的隐藏固件机制有了重大发现。这一发现尤其值得注意,因为经验丰富的黑客经常采用类似的策略。令人惊讶的是,研究人员的自动检测扫描标记了 Gigabyte 的更新程序机制从事可疑活动,让人联想到国家资助的黑客工具。具体来说,它涉及隐藏在固件中并静默执行从互联网下载代码的程序。
仅技嘉的更新程序机制就引起了用户的担忧,他们担心通过几乎无法察觉的工具进行静默代码安装的前景。此外,真正担心技嘉的机制可能会成为渗透到主板制造商的黑客利用的受害者,利用其隐藏的访问权限进行恶意的软件供应链攻击。然而,Eclypsium 的调查发现了一个更令人震惊的启示。为提升用户体验而设计的更新机制存在明显漏洞,存在被恶意劫持的可能。令人震惊的是,它会在没有经过适当身份验证的情况下将代码下载到用户的机器上,在某些情况下,它甚至使用不安全的 HTTP 连接而不是更安全的 HTTPS。
这个巨大的安全漏洞允许恶意行为者策划中间人攻击,允许他们通过欺骗安装源来欺骗毫无戒心的用户。从本质上讲,即使是流氓 Wi-Fi 网络也可能成为危险的工具,拦截用户的互联网连接并危及他们的系统完整性。
在其他情况下,技嘉的固件机制使更新程序能够从本地网络附加存储设备 (NAS) 获取下载。此功能似乎旨在促进业务网络内的更新,避免所有机器广泛访问互联网。然而,当这种情况发生时,同一网络上的恶意行为者可以欺骗性地操纵 NAS 位置,暗中用他们自己的恶意软件替换授权更新。
修复可能有效……或无效?
尽管技嘉努力解决固件问题,但由于过程的复杂性和固件与硬件对齐的挑战,固件更新经常在用户机器上悄无声息地终止。考虑到可能受到影响的设备数量之多,这一启示令人深感忧虑。虽然技嘉的隐藏固件工具可能没有恶意或欺骗意图,但操作系统下隐藏代码中的安全漏洞破坏了用户对其机器的基本信任。