Κρίσιμη ευπάθεια Firmware σε συστήματα Gigabyte εκθέτει ~7 εκατομμύρια συσκευές

[nnn]

Οι ερευνητές κυβερνοασφάλειας έχουν βρει "συμπεριφορά που μοιάζει με κερκόπορτα" στα συστήματα της Gigabyte, η οποία, όπως λένε, επιτρέπει στο υλικολογισμικό UEFI των συσκευών να ρίχνει ένα εκτελέσιμο αρχείο των Windows και να ανακτά ενημερώσεις σε μη ασφαλή μορφή.

Η εταιρεία ασφάλειας firmware Eclypsium δήλωσε ότι εντόπισε για πρώτη φορά την ανωμαλία τον Απρίλιο του 2023. Η Gigabyte έχει έκτοτε αναγνωρίσει και αντιμετωπίσει το ζήτημα.

"Το μεγαλύτερο μέρος του firmware της Gigabyte περιλαμβάνει ένα εκτελέσιμο αρχείο Windows Native Binary ενσωματωμένο μέσα στο firmware UEFI", δήλωσε στο The Hacker News ο John Loucaides, ανώτερος αντιπρόεδρος στρατηγικής της Eclypsium.

"Το εντοπιζόμενο εκτελέσιμο αρχείο των Windows πέφτει στο δίσκο και εκτελείται ως μέρος της διαδικασίας εκκίνησης των Windows, παρόμοια με την επίθεση διπλού πράκτορα LoJack. Αυτό το εκτελέσιμο αρχείο στη συνέχεια κατεβάζει και εκτελεί πρόσθετα δυαδικά προγράμματα μέσω μη ασφαλών μεθόδων".

"Μόνο η πρόθεση του συγγραφέα μπορεί να διακρίνει αυτού του είδους την ευπάθεια από μια κακόβουλη κερκόπορτα", πρόσθεσε ο Loucaides.

Το εκτελέσιμο αρχείο, σύμφωνα με την Eclypsium, ενσωματώνεται στο υλικολογισμικό UEFI και γράφεται στο δίσκο από το υλικολογισμικό ως μέρος της διαδικασίας εκκίνησης του συστήματος και στη συνέχεια εκκινείται ως υπηρεσία ενημέρωσης.

Η εφαρμογή που βασίζεται στο .NET, από την πλευρά της, έχει ρυθμιστεί για να κατεβάζει και να εκτελεί ένα ωφέλιμο φορτίο από διακομιστές ενημερώσεων της Gigabyte μέσω απλού HTTP, εκθέτοντας έτσι τη διαδικασία σε επιθέσεις adversary-in-the-middle (AitM) μέσω ενός παραβιασμένου δρομολογητή.

Ο Loucaides δήλωσε ότι το λογισμικό "φαίνεται να προοριζόταν ως νόμιμη εφαρμογή ενημέρωσης", σημειώνοντας ότι το ζήτημα επηρεάζει δυνητικά "περίπου 364 συστήματα Gigabyte με μια πρόχειρη εκτίμηση 7 εκατομμυρίων συσκευών".

Με τους φορείς απειλών να αναζητούν συνεχώς τρόπους για να παραμένουν απαρατήρητοι και να αφήνουν ελάχιστο αποτύπωμα εισβολής, οι ευπάθειες στον προνομιακό μηχανισμό ενημέρωσης υλικολογισμικού θα μπορούσαν να ανοίξουν το δρόμο για αθόρυβα bootkits UEFI και εμφυτεύματα που μπορούν να υπονομεύσουν όλους τους ελέγχους ασφαλείας που εκτελούνται στο επίπεδο του λειτουργικού συστήματος.

by Deepl

Πηγή : The Hackernews

[BlueChris]

Αν κατάλαβα καλά αυτό ισχύει μόνο αν περάσεις το firmware από το EXE μέσα στα windows , σωστά?

[deniSun]

Το πρόβλημα θα λυνόταν με https;

[BlueChris]

Το πρόβλημα θα λυνόταν με https;

Κινέζος.. υπάρχει κανείς που αναβαθμίζει δλδ Bios μέσα από τα windows???

[Sebu]

Κινέζος.. υπάρχει κανείς που αναβαθμίζει δλδ Bios μέσα από τα windows???

Οοοοουυυυ δεν θα θελες να ξερεις.....
Πριν λιγα χρονια αρκετες εταιρειες το παρουσιαζαν ως functionality και μεγαλη ανεση γιατι δεν χρειαζοταν να μπλεξεις με bios το οποιο ακομα και σημερα πολλοι το θεωρουν για λιγους και γνωστες. Ποσο μαλλον να κανεις reboot σε dos prompt με μαυρη οθονη να αναβοσβηνει αυτος ο λευκος χαρος εκει να περιμενει δακτυλογραφηση εντολων.....μπρρρρρρρ

Ααααχχχ ωραιες εποχες με dos 6 και windows 3.11

[Andreaslar]

Έχει βγει BIOS update που το διορθώνει, το πέρασα και ελπίζω να μην εχουν χαλασει κατι άλλο (εχω ασχημη εμπειρία με την aorus b450-m)

Κινέζος.. υπάρχει κανείς που αναβαθμίζει δλδ Bios μέσα από τα windows???

Εγώ!

[konig]

Κινέζος.. υπάρχει κανείς που αναβαθμίζει δλδ Bios μέσα από τα windows???

μεχρι που βγηκαν τα bios flash buttons αρκετοι

[BlueChris]

Έχει βγει BIOS update που το διορθώνει, το πέρασα και ελπίζω να μην εχουν χαλασει κατι άλλο (εχω ασχημη εμπειρία με την aorus b450-m)



Εγώ!

Σου αρέσει να ζεις επικίνδυνα .. εγώ είναι κανόνας σε οτιδήποτε αφορά εγγραφή σε chip, είτε είναι το pc μου, είτε είναι server (οκ εκεί έχουμε Ilo ή idrac κλπ) να ΜΗΝ υπάρχει φορτωμένο λειτουργικό από πάνω...
Οκ από ότι έχω δει συνήθως το σύστημα απλά κάνει reboot και το περνάει από dos... αλλά προτιμώ για ασφάλεια το usb stick.

Υ.Γ. Δεν τολμάω να αναφέρω πως ο Νο2 κανόνας αναβάθμισης είναι να είμαστε πάνω σε UPS γιατί θα με κράξετε ποιο πολύ

[zeronero]

Και γιατί η διαδικασία να μην ενσωματωθεί στο windows update ή μέσω άλλης εφαρμογής (πχ. όπως γίνεται στα Dell μέσω του Dell Command Update)? Αυτή η διαδικασία απενεργοποιεί και επανεργοποιεί αυτομάτως και το bitlocker που μπορεί να έχει κάποιος και εάν επιλέξει να το κάνει χειροκίνητα μπορεί να το ξεχάσει.

Στα dell μου (latitude & vostro) έχω δει να το εμφανίζει στο wu, αλλά επιλέγω πάντα να το κάνω μέσω του dell command.

[BlueChris]

Και γιατί η διαδικασία να μην ενσωματωθεί στο windows update ή μέσω άλλης εφαρμογής (πχ. όπως γίνεται στα Dell μέσω του Dell Command Update)? Αυτή η διαδικασία απενεργοποιεί και επανεργοποιεί αυτομάτως και το bitlocker που μπορεί να έχει κάποιος και εάν επιλέξει να το κάνει χειροκίνητα μπορεί να το ξεχάσει.

Στα dell μου (latitude & vostro) έχω δει να το εμφανίζει στο wu, αλλά επιλέγω πάντα να το κάνω μέσω του dell command.

Η όλη διαδικασία γίνεται On the Fly στα windows? η κάνει reboot και περνάει το firmware με dos?

[zeronero]

Reboot και περνάει το fw σε dos. Δεν πατάς τίποτα άλλο μετά το reboot, απλά παρακολουθείς.

[BlueChris]

Reboot και περνάει το fw σε dos. Δεν πατάς τίποτα άλλο μετά το reboot, απλά παρακολουθείς.

A ok έτσι κάτι πάει και έρχεται... τα on the fly φοβάμαι περισσότερο

[ZaNteR]

Εμεις οι απλοι χρηστες τι πρεπει να κανουμε? Πρεπει ντε και καλα τωρα να κανω update το bios? Δεν προκειται ποτε να κανω install το bloatware της gigabyte.

Με επιφύλαξη. Κοιταξα λιγο παραπανω το θεμα, αμα δεν κανεις ποτε install το app center δεν υπάρχει κίνδυνος. Ισως σε μερικες ωρες/μερες υπαρχουν ποιο ξεκαθαρα στοιχεια για το τι πρεπει να κανει καποιος.

[villager]

Οκ.... Έχω καιρό να δω αν υπάρχει νεότερο Firmware! Πάντα μέσω bios και πάντα με μια αγωνία αν πάνε όλα καλά....

[nnn]

A ok έτσι κάτι πάει και έρχεται... τα on the fly φοβάμαι περισσότερο

Η πλειοψηφία πια έχει dual bios και να σκάσει το update, γυρνάς στο backup.