Ova sigurnosna ranjivost obuhvata širok spektar modela koji sadrže i Intel i AMD čipsete, uključujući najnovije Z790 i X670 jedinice. Problem proizilazi iz loše osiguranog programa za ažuriranje (updater) koji Gigabyte koristi za održavanje firmvera.
Eclypsium, kompanija za istraživanje kibernetičke sigurnosti, nedavno je identifikovala firmware backdoor koji utiče na 271 model Gigabyte matičnih ploča. Tokom nove instalacije Windowsa, korisnici mogu naići na program koji predlaže preuzimanje najnovijeg drajvera ili firmvera. Nažalost, ovaj naizgled bezopasan program može potencijalno poslužiti kao kanal za zlonamjerne entitete.
Nakon svakog pokretanja sistema, automatski se pokreće ažuriranje
Nakon svakog ponovnog pokretanja sistema, kod ugrađen u firmver aktivira program za ažuriranje, povezujući se na internet radi pretraživanja i preuzimanja najnovijeg firmvera matične ploče. Prema Eclypsiumu, Gigabyteovom pristupu ovom programu za ažuriranje nedostaje potrebna bezbijednost, nudeći potencijalnu ulaznu tačku za instalacije zlonamjernog softvera na podložnim sistemima. Kompleksnost proizilazi iz činjenice da je ovaj program za ažuriranje ugrađen u firmver matične ploče, pa stoga predstavlja izazov za eliminaciju potrošača.
Iz njihove analize, izgleda da je izvršni modul legitiman Gigabyte modul pod nazivom WpbtDxe.efi:
- provjerava da li je omogućena funkcija „APP Center Download & Install“.
- preuzima izvršne korisne podatke sa Gigabyte servera
- ima Gigabyte kriptografski potpis
Takođe su otkrili da preuzeti korisni sadržaji takođe imaju Gigabyte kriptografske potpise, što sugeriše da je ovaj firmware backdoor implementirao sam Gigabyte.
Upotreba ovakvih programa za ažuriranje nije isključiva za Gigabyte, jer drugi proizvođači matičnih ploča koriste slične metodologije, dovodeći u pitanje ukupnu sigurnost ovih sistema. Asusov softver Armory Crate, na primjer, radi slično kao Gigabyte App Center. Eclypsium-ova analiza pokazuje da se Gigabyteov program za ažuriranje povezuje sa tri različite lokacije za ažuriranje firmvera:
- http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://software-nas/Swhttp/LiveUpdate4
Niz problema koji akterima mogu olakšati zloupotrebu firmware backdoor-a
Firma za sajber bezbednost je utvrdila da Gigabyteov program za ažuriranje preuzima kod u sistem korisnika bez odgovarajuće autentifikacije, bez potvrde kriptografskog digitalnog potpisa ili alternativnih procedura validacije. Kao rezultat toga, i HTTP i HTTPS veze ostaju ranjive na napade Machine-in-the-Middle (MITM), pri čemu su HTTP veze posebno osjetljive. Osim toga, osim svojih mrežnih veza, otkriveno je da program za ažuriranje preuzima ažuriranja firmvera sa NAS uređaja lokalne mreže, stvarajući mogućnost da štetni akter lažno predstavi NAS i inficira sistem korisnika špijunskim softverom.
Program za ažuriranje dolazi kao standardni alat na Gigabyte matičnim pločama. Eclypsium je pružio opsežnu listu pogođenih modela, koja se sastoji od 271 matične ploče iz Intel i AMD čipseta. Ovi modeli se protežu od starijih čipsetova serije AMD 400 do najnovijih matičnih ploča Intel serije 700 i AMD 600, na koje takođe utiče ovaj problem.
Rješenje u dolasku, do tada se preporučuje mjera predostrožnosti
Eclypsium je svoje nalaze prenio Gigabyteu, a kompanija aktivno traži rješenje za ovaj problem, koji će vjerovatno biti implementiran putem ažuriranja firmvera. Dok se ovo rješava, vlasnici Gigabyte matičnih ploča mogu poduzeti mjere predostrožnosti kako bi zaštitili svoje sisteme.
Preporučljivo je, prema Eclypsium-u, onemogućiti funkciju „APP Center Download & Install“ unutar firmvera matične ploče kako biste deaktivirali program za ažuriranje. Pored toga, korisnici mogu implementirati lozinku na nivou BIOS-a kao zaštitnu mjeru od neovlašćenih i štetnih aktivnosti. Na kraju, korisnici mogu blokirati tri gore spomenute stranice s kojima se povezuje program za ažuriranje.
