{"id":4912,"date":"2023-06-05T23:34:10","date_gmt":"2023-06-05T21:34:10","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=4912"},"modified":"2023-06-05T23:34:10","modified_gmt":"2023-06-05T21:34:10","slug":"backdoor-u-gigabyte-maticnim-plocama","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/06\/05\/backdoor-u-gigabyte-maticnim-plocama\/","title":{"rendered":"Backdoor u Gigabyte mati\u010dnim plo\u010dama"},"content":{"rendered":"

Sigurnosni istra\u017eiva\u010di su izrazili zabrinutost zbog UEFI<\/em> upravlja\u010dkog softvera (eng. firmware<\/em>) koji se nalazi na brojnim mati\u010dnim plo\u010dama kompanije Gigabyte<\/em>, proizvo\u0111a\u010da hardverskih komponenti za ra\u010dunare. Istra\u017eiva\u010di su otkrili da upravlja\u010dki softver nebezbedno ubacuje izvr\u0161ni k\u00f4d u jezgro Windows operativnog sistema. Napredne APT<\/em> grupe<\/a> su u pro\u0161losti koristile ovaj na\u010din<\/a> kao vektor napada na korisnike.<\/span><\/p>\n

\"gigabyte

Gigabyte motherboard; Source: <\/em>Piqsels<\/em><\/a><\/p><\/div>\n

Uvod<\/strong><\/span><\/h2>\n

UEFI<\/em> upravlja\u010dki softver je sam po sebi mini operativni sistem sa razli\u010ditim modulima koji upravljaju pokretanjem hardvera pre nego \u0161to prosjede sekvencu pokretanja programu za podizanje instaliranog operativnog sistema. Napada\u010di za napad na ovaj upravlja\u010dki softver koriste rootkit<\/em><\/a> zlonamjerni softver koji se u ovom slu\u010daju naziva bootkit<\/em>.<\/span><\/p>\n

Bootkit<\/em> je veoma opasan i te\u0161ko ga je ukloniti jer se nalaze u upravlja\u010dkom softveru sistema niskog nivoa i ubrizgava k\u00f4d unutar operativnog sistema svaki put kada se on pokrene. To zna\u010di da ponovno instaliranje operativnog sistema ili promjena \u010dvrsto diska ne\u0107e ukloniti infekciju i ona bi se ponovo pojavila.<\/span><\/p>\n

 <\/p>\n

Backdoor<\/em> problem<\/strong><\/span><\/h3>\n

Proizvo\u0111a\u010da hardverskih komponenti za ra\u010dunare Gigabyte<\/em> isporu\u010duje \u0161irok spektar modela mati\u010dnih plo\u010da koji dolaze sa uslu\u017enim programom App<\/em> Center<\/em>, koji bi trebalo da odr\u017eava upravlja\u010dki softver, upravlja\u010dki program ure\u0111aja (eng. drivers<\/em>) i povezani softver a\u017euriranim. On provjerava da li postoje a\u017euriranja i nudi da ih preuzme i instalira, \u010dime proces a\u017euriranja automatizuje i korisnici su po\u0161te\u0111eni da to rade ru\u010dno ili da u\u0111u duboko u pode\u0161avanja BIOS<\/em>-a. Problem je \u0161to na\u010din na koji je Gigabyte<\/em> ovo implementirao potencijalno dovodi ljude u opasnost od infekcije.<\/span><\/p>\n

UEFI<\/em> upravlja\u010dki softver koji Gigabyte<\/em> isporu\u010duje sa svojim mati\u010dnim plo\u010dama obavlja brojne radnje dok se sistem pokrec\u0301e. Na Windows<\/em> ra\u010dunarima, ovo uklju\u010duje tiho upisivanje Windows<\/em> programa koji je ugra\u0111en u upravlja\u010dki softver na disk kao GigabyteUpdateService.exe<\/em> u direktorijumu system32<\/em> operativnog sistema i njegovo pokretanje.<\/span><\/p>\n

Ta izvr\u0161na datoteka se postavlja kao Windows<\/em> usluga, a zatim preuzima sa Interneta drugu izvr\u0161nu datoteku i pokrec\u0301e je. Ta druga izvr\u0161na datoteka se preuzima predefinisanih Internet adresa, koje opet zavise od konfiguracije. U su\u0161tini to je dio mehanizma App Center<\/em> uslu\u017enog programa za otkrivanje i nu\u0111enje a\u017euriranja sistema za instalaciju. Pretpostavlja se da se preuzeti k\u00f4d pokrec\u0301e sa visokim privilegijama.<\/span><\/p>\n

 <\/p>\n

\u201cIako na\u0161a trenutna istraga nije potvrdila eksploataciju od strane odre\u0111enog aktera prijetnje, aktivna \u0161iroko rasprostranjena <\/em>pozadinska vrata (eng. backdoor)<\/em><\/a> koja je te\u0161ko ukloniti predstavlja rizik za lanac snabdijevanja za organizacije sa Gigabyte sistemima.\u201d<\/em><\/span><\/p>\n

\u00a0<\/em>– <\/em>Eclypsium report<\/em><\/a> –<\/em><\/span><\/p>\n<\/blockquote>\n

 <\/p>\n

Rizik infekcije<\/strong><\/span><\/h4>\n

Gigabyte<\/em> aplikacija za a\u017euriranje automatski tra\u017ei a\u017euriranja za preuzimanje i izvr\u0161avanje provjerom tri Internet adrese. Jedan od njih je Gigabyte<\/em> server za preuzimanje preko HTTPS<\/em> protokola, druga je isti server, ali veza koristi obi\u010dan HTTP<\/em> protokol, a trec\u0301a je Internet adresa do nekvalifikovanog domena koji se zove software-nas<\/em> koji mo\u017ee biti ure\u0111aj na lokalnoj mre\u017ei.<\/span><\/p>\n

Dva od tri na\u010dina preuzimanja datoteka su veoma problemati\u010dna. Ne\u0161ifrovane HTTP<\/em> veze su ranjive na napade \u010dovjeka u sredini (eng. man-in-the-middle<\/em>). Napada\u010d koji sjedi na istoj mre\u017ei ili kontroli\u0161e ruter na mre\u017ei mo\u017ee da usmjeri sistem na server pod njihovom kontrolom i aplikacija ne bi imala na\u010dina da zna da ne razgovara sa pravim Gigabyte<\/em> serverom.<\/span><\/p>\n

Trec\u0301a Internet adresa je podjednako problemati\u010dna i jo\u0161 lak\u0161a za zloupotrebu, jer bi napada\u010d na istoj mre\u017ei na kompromitovanom sistemu mogao da postavi server i podesi ime ra\u010dunara na software-nas<\/em> \u010dak i bez implementacije DNS<\/em> la\u017eiranja ili drugih tehnika. Kona\u010dno, \u010dak je i HTTPS<\/em> veza ranjiva na \u010dovjeka u sredini, jer aplikacija za a\u017euriranje ne primjenjuje ispravno provjeru certifikata servera, \u0161to zna\u010di da napada\u010di i dalje mogu da prevari server.<\/span><\/p>\n

Jo\u0161 jedan problem u svemu ovome je u tome \u0161to \u010dak i ako su Gigabyte<\/em> alati i a\u017euriranja digitalno potpisani va\u017ee\u0107im potpisom, upravlja\u010dki softver ne vr\u0161i provjeru ili utvr\u0111ivanje digitalnog potpisa nad bilo kojim izvr\u0161nim fajlom, tako da bi napada\u010di mogli lako da zloupotrebe funkciju.<\/span><\/p>\n

 <\/p>\n

Preporuke<\/strong><\/span><\/h5>\n

Sigurnosni istra\u017eiva\u010di savjetuju organizacijama sa Gigabyte<\/em> sistemima da onemogu\u0107e funkciju preuzimanja i instaliranja App<\/em> Center<\/em> uslu\u017enog programa u UEFI<\/em> postavkama i da blokiraju tri Internet adrese koje se nalaze u izvje\u0161taju<\/a> kompanije Eclypsium<\/em>. Organizacije tako\u0111e mogu da tra\u017ee poku\u0161aje povezivanja sa ovim Internet adresama kako bi otkrile na koje sisteme bi to moglo uticati na njihovim mre\u017eama okru\u017eenjima, ali bi uop\u0161te trebalo da tra\u017ee veze koje bi mogle da poti\u010du od sli\u010dnih funkcija drugih proizvo\u0111a\u010da. \u010cak i ako nisu primijenjene u upravlja\u010dkom softveru, aplikacije koje su proizvo\u0111a\u010di ra\u010dunara unaprijed instalirali na ra\u010dunarima tako\u0111e mogu otvoriti ranjivosti, pa korisnici trebaju obratiti pa\u017enju ina njih.<\/span><\/p>\n

 <\/p>\n

Odgovor proizvo\u0111a\u010da<\/strong><\/span><\/h5>\n

Kompanija Gigabyte<\/em> je objavila a\u017euriranja upravlja\u010dkog softvera kako bi popravila bezbjednosne propuste na preko 270 mati\u010dnih plo\u010da koje bi se mogle iskoristiti za instaliranje zlonamjernog softvera. A\u017euriranja upravlja\u010dkog softvera su objavljena kao odgovor na izvje\u0161taj kompanije za hardversku bezbjednost Eclypsium<\/em>, koja je prona\u0161la nedostatke u legitimnoj Gigabyte<\/em> funkciji koja se koristi za instaliranje aplikacije za automatsko a\u017euriranje softvera u Windows<\/em> operativnom sistemu.<\/span><\/p>\n

 <\/p>\n

Da bi poja\u010dao bezbjednost sistema, Gigabyte je primijenio stro\u017ee bezbjednosne provjere tokom procesa pokretanja operativnog sistema. Ove mjere su dizajnirane da otkriju i sprije\u010de sve moguc\u0301e zlonamjerne aktivnosti, pru\u017eaju\u0107i korisnicima pobolj\u0161anu za\u0161titu:<\/em><\/span><\/p>\n

\u00a0<\/em>Verifikacija potpisa: Gigabyte je poja\u010dao proces validacije za datoteke preuzete sa udaljenih servera. Ova pobolj\u0161ana verifikacija obezbje\u0111uje integritet i legitimnost sadr\u017eaja, spre\u010davaju\u0107i sve poku\u0161aje napada\u010da da ubace zlonamjerni k\u00f4d.<\/em><\/span><\/p>\n

\u00a0<\/em>Ograni\u010denja pristupa privilegijama: Gigabyte je omogu\u0107io standardnu kriptografsku verifikaciju certifikata udaljenog servera. Ovo garantuje da se datoteke preuzimaju isklju\u010divo sa servera sa va\u017ee\u0107im i pouzdanim certifikatima, obezbe\u0111uju\u0107i dodatni nivo za\u0161tite.<\/em><\/span><\/p>\n

\u00a0<\/em>–\u00a0 <\/em>Gigabyte<\/em><\/a> –<\/em><\/span><\/p>\n<\/blockquote>\n

\u00a0<\/em><\/span><\/p>\n

Iako je rizik od ovih ranjivosti vjerovatno nizak, svim korisnicima Gigabyte<\/em> mati\u010dne plo\u010de se savjetuje da instaliraju najnovija a\u017euriranja upravlja\u010dkog softvera kako bi imali koristi od bezbjednosnih ispravki.<\/span><\/p>\n

A korisnici \u017eele da uklone Gigabyte<\/em> aplikaciju za automatsko a\u017euriranje, prvo bi trebalo da isklju\u010de \u201cAPP Center Download & Install Configuration<\/em>\u201d postavku u BIOS<\/em>-u, a zatim da obri\u0161u softver u Windows<\/em> operativnom sistemu.<\/span><\/p>","protected":false},"excerpt":{"rendered":"

Sigurnosni istra\u017eiva\u010di su izrazili zabrinutost zbog UEFI upravlja\u010dkog softvera (eng. firmware) koji se nalazi na brojnim mati\u010dnim plo\u010dama kompanije Gigabyte, proizvo\u0111a\u010da hardverskih komponenti za ra\u010dunare. Istra\u017eiva\u010di su otkrili da upravlja\u010dki softver nebezbedno ubacuje izvr\u0161ni...<\/p>","protected":false},"author":1,"featured_media":4915,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[62,142,139,407,93,102],"class_list":["post-4912","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-apt","tag-backdoor","tag-bootkit","tag-gigabyte","tag-malware","tag-rootkit"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4912","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=4912"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4912\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/4915"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=4912"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=4912"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=4912"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}