Instrukce Možná jste viděli nějaké titulky o zadních vrátkách dodavatelského řetězce do milionů gigabajtových základních desek. Tady je přehled.
Co je za problém?
Gigabyte dodává širokou škálu modelů základních desek, které jsou součástí dodávky Centrum aplikací Nástroj, který má udržovat firmware, ovladače a systémový software aktuální. Zkontroluje aktualizace a nabídne jejich stažení a instalaci, čímž lidem ušetří, že to budou muset dělat ručně nebo se ponořit do nastavení systému BIOS. Problém je v tom, že způsob, jakým to Gigabyte implementoval, by mohl lidi vystavit riziku infekce.
jak to?
Firmware Gigabyte UEFI se dodává s jejich základními deskami a během spouštění systému provádí řadu akcí. Na počítačích se systémem Windows to znamená tichý zápis softwaru systému Windows obsaženého ve firmwaru na disk GigabyteUpdateService.exe v operačním systému system32 složku a spusťte ji. exe. se jako služba Windows a poté stáhne další spustitelný soubor z Internetu a spustí jej. Tento druhý program se načítá z jednoho z těchto umístění:
hxxp://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4hxxps://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4hxxps://software-nas/Swhttp/LiveUpdate4
Použité umístění závisí na tom, jak je nakonfigurováno. Dohromady to vypadá, že je to součást mechanismu App Center pro zjišťování a nabízení aktualizací systému k instalaci. Předpokládá se, že načtený kód běží se zvýšenými oprávněními.
Jak to infikuje můj počítač se systémem Windows?
No, pokud někdo dokáže zachytit ta stahování a nahradit načtený kód malwarem, dosáhne spuštění kódu na Windows boxu oběti a bude to moci ovládat. Takový útočník by mohl používat DNS spoofy k vytváření požadavků mb.download.gigabyte.com Jsou přesměrováni na škodlivý server, který místo legitimního spustitelného souboru Gigabyte distribuuje malware.
Jedna z URL používá HTTP, což je pro privilegované útočníky snazší zachytit, zatímco další dvě používají HTTPS, i když bez ověření certifikátu vzdáleného serveru, takže opět by byl možný útok typu man-in-the-middle (MITM). Někdo musí jít hodně daleko, aby to dokázal. Není to nemožné, ale mohou existovat jednodušší způsoby, jak někoho nakazit.
Útočník se pravděpodobně ujistí, že přinesený program splňuje požadavky Windows na podepisování kódu. Kromě toho firmware neprovádí žádné kontroly, aby zjistil, zda stahuje legitimní binární soubor. Obecně to není nejbezpečnější proces a může vést ke spuštění škodlivého kódu a šíření spywaru na zařízení nic netušícího cizího člověka.
Ach. Kdo našel tuto slabinu?
Vědci z Eclypsia, kteří tuto technologii spustili Konzultace na toto téma zde začátkem tohoto týdne. Aby bylo jasno, nenašli žádný skutečný malware nebo darebáky, kteří by to zneužívali, jen nečekaný pád exe. na souborovém systému firmwaru UEFI a pokusí se jej připojit k vnějšímu světu.
Nenašli žádný důkaz, že je zranitelnost aktivně zneužívána, pouze to, že způsob, jakým firmware Gigabyte funguje, je nejistý a potenciálním hackerům trochu usnadňuje život.
Došli k závěru: „Aktor hrozeb to může využít k neustálé infikování zranitelných systémů buď prostřednictvím MITM nebo kompromitované infrastruktury.“
Co mohu udělat, abych se ochránil?
Prozatím můžete zajistit, aby byla v App Center vypnutá funkce stahování a instalace, která firmwaru brání ve spouštění jeho aktualizační služby a brání tak načítání kódu z internetu. Eclypsium věří, že tato funkce by měla být ve výchozím nastavení vypnutá, ale uvedli, že ji našli povolenou na zařízeních, která museli předat.
Také pokud jste schopni blokovat odchozí připojení k výše uvedeným adresám URL, může to být prozatím dobrý nápad. Mějte však na paměti, že to může narušit proces aktualizace App Center.
Jak poznám, že se mě to týká?
Eclypsium má seznam 271 postižených základních desek tady [PDF].
Co by měl Gigabyte říct?
log Gigabyte požádal o komentář; Pokud něco uslyšíme, dáme vám vědět. Eclypsium říká, že spolupracuje s výrobcem na vyřešení této chyby zabezpečení.
Mám vzít někoho, kdo si myslí, že by bylo dobré povolit firmwaru UEFI automaticky a tiše instalovat služby Windows do složky system32 z mého seznamu vánočních přání?
Ano.
Mám panikařit?
Ne. ®
„Přátelský průkopník popkultury. Hodně padá. Sociální média geek. Obecný fanatik do kávy. Televizní nadšenec. Potížista.“
