Istraživači kibernetičke bezbjednosti otkrili su “ponašanje nalik na backdoor” u Gigabyte sistemima, za koje kažu da omogućava UEFI firmware-u uređaja da ispusti izvršnu datoteku Windows-a i preuzme ažuriranja u nesigurnom formatu.
Firma za bezbjednost firmware-a Eclypsium rekla je da je prvi put otkrila anomaliju u aprilu 2023. godine. Gigabyte je od tada priznao i riješio problem.
“Većina Gigabyte firmware-a uključuje Windows Native Binary izvršnu datoteku ugrađenu u UEFI firmware”, rekao je John Loucaides, viši potpredsjednik strategije u Eclypsium-u.
“Detektovana Windows izvršna datoteka se spušta na disk i izvršava kao dio procesa pokretanja Windows-a, slično LoJack napadu dvostrukog agenta. Ova izvršna datoteka zatim preuzima i pokreće dodatne binarne datoteke putem nesigurnih metoda.”
“Samo namjera autora može razlikovati ovu vrstu ranjivosti od malicioznog backdoor-a”, dodao je Loucaides.
Izvršna datoteka, prema Eclypsium-u, je ugrađena u UEFI firmware i upisana na disk pomoću firmware-a kao dio procesa pokretanja sistema, a zatim se pokreće kao usluga ažuriranja.
Aplikacija zasnovana na .NET-u je, sa svoje strane, konfigurisana za preuzimanje i izvršavanje payload-a sa Gigabyte servera za ažuriranje preko običnog HTTP-a, čime se proces izlaže napadima protivnik u sredini (AitM) preko kompromitovanog rutera.
Loucaides je rekao da je softver “izgleda zamišljen kao legitimna aplikacija za ažuriranje“, napominjući da problem potencijalno utiče na “oko 364 Gigabyte sistema sa grubom procjenom od 7 miliona uređaja”.
S obzirom na to da su hakeri stalno u potrazi za načinima da ostanu neotkriveni i ostave minimalni otisak upada, ranjivosti u privilegovanom mehanizmu ažuriranja firmware-a mogle bi osigurati put za prikrivene UEFI bootkit-ove i implantate koji mogu srušiti sve sigurnosne kontrole koje se izvršavaju u ravni operativnog sistema.
Da stvar bude gora, budući da se UEFI kod nalazi na matičnoj ploči, maliciozni softver ubrizgan u firmware može opstati čak i ako se diskovi obrišu i operativni sistem ponovo instalira.
Organizacijama se savjetuje da primjenjuju najnovija ažuriranja firmware-a kako bi smanjili potencijalne rizike. Takođe se savetuje da provjerite i onemogućite funkciju „Preuzmi i instaliraj centar APP“ u UEFI/BIOS podešavanju i postavite lozinku za BIOS da biste sprečili maliciozne promjene.
“Ažuriranja firmware-a imaju notorno slabu primjenu kod krajnjih korisnika” rekao je Loucaides. “Tako da je lako razumiti razmišljanje da aplikacija za ažuriranje firmware-a može pomoći.”
„Međutim, ironija veoma nesigurne aplikacije za ažuriranje, koja je ugrađena u firmware za automatsko preuzimanje i pokretanje payload-a, nije izgubljena.“
Izvor: The Hacker News