Wiele rzeczy może pójść nie tak podczas produkcji płyty głównej, ale żeby producent sam instalował furtkę? To zwyczajnie nie wypada.
Żeby było jasne. Nie ma dowodów na to, że producent zmieścił backdoory celowo. Z pewnością było niedopatrzenie przy kontroli bezpieczeństwa oprogramowania układowego. Niemniej Gigabyte popełnił duży błąd. Nikt nie lubi, gdy rzeczy na komputerze dzieją się w ukryciu. Tym bardziej, gdy są niebezpieczne.
Płyty główne tajwańskiego producenta mają lukę bezpieczeństwa w oprogramowaniu UEFI. To ono odpowiada za pracę sprzętu i decyduje o sposobie ładowania systemu operacyjnego. Analitycy odkryli, że może ono też po kawałku ściągać programy z zewnątrz. Wygląda to jakby Gigabyte zrobił cyberszpiegom ogromną przysługę. Miliony egzemplarzy płyt głównych wręcz zapraszają do ataku.
Analitycy z firmy Eclypsium odkryli, że przy każdym uruchomieniu komputera oprogramowanie układowe uruchamia proces aktualizacji. System operacyjny pracuje normalnie, ale razem z nim startuje program aktualizujący. Za jego sprawą w międzyczasie ściągany i wykonywany jest kolejny program. To byłaby doskonała metoda na utrzymanie aktualności oprogramowania układowego bez zawracania gitary użytkownikowi, gdyby była porządnie zabezpieczona. Pewnie już się domyślasz, że nie jest.
Mechanizm ten można przejąć i wykorzystać do instalacji szkodliwego programu. Użytkownik będzie bezbronny. Ponieważ wszystko dzieje się poza systemem operacyjnym, usunięcie zagrożenia będzie drogą przez mękę… o ile w ogóle uda się je wykryć.
Specjaliści z Eclypsium wymieniają 271 modeli płyt głównych Gigabyte (PDF), na których znaleźli opisaną lukę. Sprawdź, czy masz jedną z nich.
Już widzieliśmy ataki z wykorzystaniem oprogramowania układowego komputerów. W 2018 funkcjonariusze rosyjskiego GRU wykorzystywali malware LoJack do zbierania informacji o swoich celach. W 2020 na podobnych działaniach przyłapani zostali hakerzy pracujący dla rządu Chin. Wtedy ofiarami byli dyplomaci i pracownicy organizacji pozarządowych na trzech kontynentach.
Zobacz: Apple ma migrenę. Microsoft znalazł niebezpieczną dziurę w macOS
Tu również jest możliwość instalacji oprogramowania szpiegującego, które będzie niemal nie do usunięcia. Specjaliści odkryli, że żadną sztuką nie jest podsunięcie aktualizacji ze szkodliwym kodem. Po pierwsze, program do aktualizacji nie wykonuje prawidłowej kontroli autentyczności ściągniętych danych. Po drugie, w wielu przypadkach aktualizacja ściągana jest nieszyfrowanym kanałem, który można bez problemu przechwycić. Wystarczy prosty atak typu Man in the Middle (podstawiony pośrednik, na przykład na routerze), żeby odkręcić kurek z prywatnymi danymi ofiary.
Można też przeprowadzić atak z poziomu tej samej sieci lokalnej. Gigabyte zaimplementował możliwość aktualizacji z dysku sieciowego (NAS), by maszyny pracujące offline również mogły korzystać z nowego oprogramowania. Można podstawić fałszywą aktualizację z komputera pracującego w tej samej sieci i nieszczęście gotowe. To, co miało być wygodne dla centralnie zarządzanych organizacji, otwiera im drogę do zguby.
Eclypsium informuje, że pracuje z tajwańskim producentem nad rozwiązaniem. Gigabyte 1 czerwca 2023 opublikował komunikat, w którym odnosi się do sprawy. Można w nim przeczytać:
Inżynierowie GIGABYTE już zlikwidowali potencjalne ryzyko i udostępnili betę BIOS-u dla płyt z czipsetem Intel 700/600 i AMD 500/400 na stronie […] Nieco później zostanie udostępniony BIOS dla płyt z czipsetem Intel 500/400 i AMD 600.
Producent zapewnia, że wprowadzona została weryfikacja sygnatur aktualizacji oraz ścisła kontrola autentyczności serwerów. Pozostaje mieć nadzieję, że aktualizacja dotrze do maszyn z lukami. Bo to nie łatanie dziur jest wyzwaniem, ale dystrybucja tych łat do milionów odbiorców.
Poza aktualizacją, specjaliści zalecają, by ręcznie zablokować APP Center Download & Install w ustawieniach płyty. Na wszelki wypadek. Aktualizację oprogramowania układowego zawsze można przeprowadzić ręcznie.
Źródło zdjęć: Shutterstock / Radu Bercan
Źródło tekstu: Wired, Eclypsium
