在數百萬 PC 主板上發現後門固件
網絡罪犯越來越多地採用一種狡猾的策略,將惡意程序隱藏在計算機的 UEFI 固件中——負責啟動操作系統的基本代碼。然而,當主板製造商不僅在數百萬台計算機的固件中包含其隱藏後門而且未能正確保護該入口時,情況變得更加令人擔憂。
最近,一組專門研究固件的網絡安全研究人員發現了一種隱藏機制,該機制嵌入在技嘉製造的主板固件中,技嘉是台灣知名公司,廣泛用於遊戲 PC 和高性能計算機。使用受影響的技嘉主板重新啟動計算機時,固件中的隱藏代碼會謹慎地觸發計算機上的更新程序。隨後,該程序會在用戶不知情或未同意的情況下下載並執行另一軟件。
目錄
意圖很好,執行不那麼多
雖然在技嘉主板固件中發現的隱藏代碼可能是作為一種無害的固件更新工具,但研究人員發現其實施過程中存在重大安全漏洞。這些漏洞造成了惡意行為者利用該機制的潛在風險,他們可以利用它來安裝惡意軟件而不是預期的 Gigabyte 程序。
使問題更加複雜的是,更新程序是從計算機的固件啟動的,在用戶操作系統的範圍之外運行。這使得用戶很難檢測或刪除有問題的代碼,進一步加劇了安全漏洞的潛在影響。
涉及的模型超過 270 個
要查看您的計算機主板是否包含有問題的後門,請導航至 Windows 中的“開始”並訪問“系統信息”。
在調查基於固件的惡意代碼時,研究人員對技嘉的隱藏固件機制有了重大發現。這一發現尤其值得注意,因為經驗豐富的黑客經常採用類似的策略。令人驚訝的是,研究人員的自動檢測掃描標記了 Gigabyte 的更新程序機制從事可疑活動,讓人聯想到國家資助的黑客工具。具體來說,它涉及隱藏在固件中並靜默執行從互聯網下載代碼的程序。
僅技嘉的更新程序機制就引起了用戶的擔憂,他們擔心通過幾乎無法察覺的工具進行靜默代碼安裝的前景。此外,真正擔心技嘉的機制可能會成為滲透到主板製造商的黑客利用的受害者,利用其隱藏的訪問權限進行惡意的軟件供應鏈攻擊。然而,Eclypsium 的調查發現了一個更令人震驚的啟示。為提升用戶體驗而設計的更新機制存在明顯漏洞,存在被惡意劫持的可能。令人震驚的是,它會在沒有經過適當身份驗證的情況下將代碼下載到用戶的機器上,在某些情況下,它甚至使用不安全的 HTTP 連接而不是更安全的 HTTPS。
這個巨大的安全漏洞允許惡意行為者策劃中間人攻擊,允許他們通過欺騙安裝源來欺騙毫無戒心的用戶。從本質上講,即使是流氓 Wi-Fi 網絡也可能成為危險的工具,攔截用戶的互聯網連接並危及他們的系統完整性。
在其他情況下,技嘉的固件機制使更新程序能夠從本地網絡附加存儲設備 (NAS) 獲取下載。此功能似乎旨在促進業務網絡內的更新,避免所有機器廣泛訪問互聯網。然而,當這種情況發生時,同一網絡上的惡意行為者可以欺騙性地操縱 NAS 位置,暗中用他們自己的惡意軟件替換授權更新。
修復可能有效……或無效?
儘管技嘉努力解決固件問題,但由於過程的複雜性和固件與硬件對齊的挑戰,固件更新經常在用戶機器上悄無聲息地終止。考慮到可能受到影響的設備數量之多,這一啟示令人深感憂慮。雖然技嘉的隱藏固件工具可能沒有惡意或欺騙意圖,但操作系統下隱藏代碼中的安全漏洞破壞了用戶對其機器的基本信任。