Backdoor u Gigabyte matičnim pločama

Sigurnosni istraživači su izrazili zabrinutost zbog UEFI upravljačkog softvera (eng. firmware) koji se nalazi na brojnim matičnim pločama kompanije Gigabyte, proizvođača hardverskih komponenti za računare. Istraživači su otkrili da upravljački softver nebezbedno ubacuje izvršni kôd u jezgro Windows operativnog sistema. Napredne APT grupe su u prošlosti koristile ovaj način kao vektor napada na korisnike.

gigabyte motherboard

Gigabyte motherboard; Source: Piqsels

Uvod

UEFI upravljački softver je sam po sebi mini operativni sistem sa različitim modulima koji upravljaju pokretanjem hardvera pre nego što prosjede sekvencu pokretanja programu za podizanje instaliranog operativnog sistema. Napadači za napad na ovaj upravljački softver koriste rootkit zlonamjerni softver koji se u ovom slučaju naziva bootkit.

Bootkit je veoma opasan i teško ga je ukloniti jer se nalaze u upravljačkom softveru sistema niskog nivoa i ubrizgava kôd unutar operativnog sistema svaki put kada se on pokrene. To znači da ponovno instaliranje operativnog sistema ili promjena čvrsto diska neće ukloniti infekciju i ona bi se ponovo pojavila.

 

Backdoor problem

Proizvođača hardverskih komponenti za računare Gigabyte isporučuje širok spektar modela matičnih ploča koji dolaze sa uslužnim programom App Center, koji bi trebalo da održava upravljački softver, upravljački program uređaja (eng. drivers) i povezani softver ažuriranim. On provjerava da li postoje ažuriranja i nudi da ih preuzme i instalira, čime proces ažuriranja automatizuje i korisnici su pošteđeni da to rade ručno ili da uđu duboko u podešavanja BIOS-a. Problem je što način na koji je Gigabyte ovo implementirao potencijalno dovodi ljude u opasnost od infekcije.

UEFI upravljački softver koji Gigabyte isporučuje sa svojim matičnim pločama obavlja brojne radnje dok se sistem pokreće. Na Windows računarima, ovo uključuje tiho upisivanje Windows programa koji je ugrađen u upravljački softver na disk kao GigabyteUpdateService.exe u direktorijumu system32 operativnog sistema i njegovo pokretanje.

Ta izvršna datoteka se postavlja kao Windows usluga, a zatim preuzima sa Interneta drugu izvršnu datoteku i pokreće je. Ta druga izvršna datoteka se preuzima predefinisanih Internet adresa, koje opet zavise od konfiguracije. U suštini to je dio mehanizma App Center uslužnog programa za otkrivanje i nuđenje ažuriranja sistema za instalaciju. Pretpostavlja se da se preuzeti kôd pokreće sa visokim privilegijama.

 

“Iako naša trenutna istraga nije potvrdila eksploataciju od strane određenog aktera prijetnje, aktivna široko rasprostranjena pozadinska vrata (eng. backdoor) koja je teško ukloniti predstavlja rizik za lanac snabdijevanja za organizacije sa Gigabyte sistemima.”

 Eclypsium report

 

Rizik infekcije

Gigabyte aplikacija za ažuriranje automatski traži ažuriranja za preuzimanje i izvršavanje provjerom tri Internet adrese. Jedan od njih je Gigabyte server za preuzimanje preko HTTPS protokola, druga je isti server, ali veza koristi običan HTTP protokol, a treća je Internet adresa do nekvalifikovanog domena koji se zove software-nas koji može biti uređaj na lokalnoj mreži.

Dva od tri načina preuzimanja datoteka su veoma problematična. Nešifrovane HTTP veze su ranjive na napade čovjeka u sredini (eng. man-in-the-middle). Napadač koji sjedi na istoj mreži ili kontroliše ruter na mreži može da usmjeri sistem na server pod njihovom kontrolom i aplikacija ne bi imala načina da zna da ne razgovara sa pravim Gigabyte serverom.

Treća Internet adresa je podjednako problematična i još lakša za zloupotrebu, jer bi napadač na istoj mreži na kompromitovanom sistemu mogao da postavi server i podesi ime računara na software-nas čak i bez implementacije DNS lažiranja ili drugih tehnika. Konačno, čak je i HTTPS veza ranjiva na čovjeka u sredini, jer aplikacija za ažuriranje ne primjenjuje ispravno provjeru certifikata servera, što znači da napadači i dalje mogu da prevari server.

Još jedan problem u svemu ovome je u tome što čak i ako su Gigabyte alati i ažuriranja digitalno potpisani važećim potpisom, upravljački softver ne vrši provjeru ili utvrđivanje digitalnog potpisa nad bilo kojim izvršnim fajlom, tako da bi napadači mogli lako da zloupotrebe funkciju.

 

Preporuke

Sigurnosni istraživači savjetuju organizacijama sa Gigabyte sistemima da onemoguće funkciju preuzimanja i instaliranja App Center uslužnog programa u UEFI postavkama i da blokiraju tri Internet adrese koje se nalaze u izvještaju kompanije Eclypsium. Organizacije takođe mogu da traže pokušaje povezivanja sa ovim Internet adresama kako bi otkrile na koje sisteme bi to moglo uticati na njihovim mrežama okruženjima, ali bi uopšte trebalo da traže veze koje bi mogle da potiču od sličnih funkcija drugih proizvođača. Čak i ako nisu primijenjene u upravljačkom softveru, aplikacije koje su proizvođači računara unaprijed instalirali na računarima takođe mogu otvoriti ranjivosti, pa korisnici trebaju obratiti pažnju ina njih.

 

Odgovor proizvođača

Kompanija Gigabyte je objavila ažuriranja upravljačkog softvera kako bi popravila bezbjednosne propuste na preko 270 matičnih ploča koje bi se mogle iskoristiti za instaliranje zlonamjernog softvera. Ažuriranja upravljačkog softvera su objavljena kao odgovor na izvještaj kompanije za hardversku bezbjednost Eclypsium, koja je pronašla nedostatke u legitimnoj Gigabyte funkciji koja se koristi za instaliranje aplikacije za automatsko ažuriranje softvera u Windows operativnom sistemu.

 

Da bi pojačao bezbjednost sistema, Gigabyte je primijenio strože bezbjednosne provjere tokom procesa pokretanja operativnog sistema. Ove mjere su dizajnirane da otkriju i spriječe sve moguće zlonamjerne aktivnosti, pružajući korisnicima poboljšanu zaštitu:

 Verifikacija potpisa: Gigabyte je pojačao proces validacije za datoteke preuzete sa udaljenih servera. Ova poboljšana verifikacija obezbjeđuje integritet i legitimnost sadržaja, sprečavajući sve pokušaje napadača da ubace zlonamjerni kôd.

 Ograničenja pristupa privilegijama: Gigabyte je omogućio standardnu kriptografsku verifikaciju certifikata udaljenog servera. Ovo garantuje da se datoteke preuzimaju isključivo sa servera sa važećim i pouzdanim certifikatima, obezbeđujući dodatni nivo zaštite.

 –  Gigabyte

 

Iako je rizik od ovih ranjivosti vjerovatno nizak, svim korisnicima Gigabyte matične ploče se savjetuje da instaliraju najnovija ažuriranja upravljačkog softvera kako bi imali koristi od bezbjednosnih ispravki.

A korisnici žele da uklone Gigabyte aplikaciju za automatsko ažuriranje, prvo bi trebalo da isključe “APP Center Download & Install Configuration” postavku u BIOS-u, a zatim da obrišu softver u Windows operativnom sistemu.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.