FAQ Je hebt misschien wat krantenkoppen gezien over een backdoor in de toeleveringsketen in miljoenen Gigabyte-moederborden. Hier is het dieptepunt.
Wat is het probleem?
Gigabyte heeft een breed scala aan moederbordmodellen die worden geleverd met een App Center-hulpprogramma, dat de firmware, stuurprogramma’s en gerelateerde software van uw systeem up-to-date moet houden. Het controleert op updates en biedt aan om deze te downloaden en te installeren, waardoor mensen dit niet handmatig hoeven te doen of diep in hun BIOS-instellingen moeten graven. Het probleem is dat de manier waarop Gigabyte het heeft geïmplementeerd mensen het risico op infectie laat lopen.
Hoe kan dat?
De UEFI-firmware die bij moederborden wordt geleverd, voert een reeks acties uit tijdens het opstarten van het systeem. Op Windows-computers houdt dit in dat een in de firmware ingesloten Windows-programma in stilte naar schijf wordt geschreven als GigabyteUpdateService.exe in het besturingssysteem system32 map en voer het uit. Deze .exe stelt zichzelf in als een Windows-service en haalt vervolgens een ander uitvoerbaar bestand op van internet en voert het uit. Het krijgt dit tweede programma van een van deze locaties:
hxxp://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4hxxps://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4hxxps://software-nas/Swhttp/LiveUpdate4
De gebruikte locatie hangt af van hoe deze is geconfigureerd. Over het algemeen lijkt dit deel uit te maken van het mechanisme van App Center voor het ontdekken en aanbieden van systeemupdates om te installeren. Blijkbaar wordt de herstelde code uitgevoerd met verhoogde rechten.
Hoe leidt dit tot de infectie van mijn Windows-computer?
Welnu, als iemand deze downloads zou kunnen onderscheppen en de herstelde code zou kunnen vervangen door malware, zou hij erin slagen code uit te voeren in de Windows-context van het slachtoffer en deze te manipuleren. Zo’n aanvaller zou DNS-shenanigans kunnen gebruiken om dit op te vragen mb.download.gigabyte.com worden omgeleid naar een kwaadaardige server die malware verspreidt in plaats van een legitiem uitvoerbaar Gigabyte-bestand.
Een van de URL’s maakt gebruik van HTTP, wat gemakkelijk kan worden onderschept door een goed geplaatste aanvaller, en de andere twee gebruiken HTTPS, zij het zonder de juiste validatie van externe servercertificaten, dus nogmaals, een man-in-the-middle-aanval ( MITM) zou wees mogelijk. Men moet veel doen om het te bereiken. Het is niet onmogelijk, maar er zijn wellicht makkelijkere manieren om iemand te besmetten.
En een aanvaller moet er waarschijnlijk voor zorgen dat het herstelde programma voldoet aan de vereisten voor codeondertekening van Windows. Anders controleert de firmware niet of er een legitiem binair bestand wordt gedownload. Over het algemeen is dit niet het meest veilige proces en kan het ertoe leiden dat kwaadaardige code wordt uitgevoerd en spyware wordt ingezet op de machine van een nietsvermoedende vreemde.
Oh, wie heeft deze zwakte gevonden?
Onderzoekers van Eclypsium, die er eerder deze week een technisch advies over uitbrachten. Voor alle duidelijkheid: ze vonden geen echte malware of lokvogels die het misbruikten, alleen het onverwachte dumpen van een .exe op het bestandssysteem door de UEFI-firmware en zijn pogingen om verbinding te maken met de buitenwereld.
Ze vonden geen bewijs van actief misbruik van de kwetsbaarheid, alleen dat de manier waarop de firmware van Gigabyte werkt onveilig is en het leven van potentiële aanvallers een beetje gemakkelijker maakt.
Ze concludeerden: “Elke bedreigingsactor kan het gebruiken om kwetsbare systemen aanhoudend te infecteren, hetzij via MITM of gecompromitteerde infrastructuur.”
Wat kan ik doen om mezelf te beschermen?
Voor nu kunt u ervoor zorgen dat de download- en installatiefunctie van het App Center is uitgeschakeld, waardoor wordt voorkomen dat de firmware de updateservice uitvoert en dus voorkomt dat code van internet wordt opgehaald. Eclypsium gelooft dat deze functie standaard uitgeschakeld zou moeten zijn, maar ze zeiden dat ze deze ingeschakeld vonden in de hardware die ze moesten leveren.
Ook als u uitgaande links naar de bovenstaande URL’s kunt blokkeren, is dit voor nu misschien een goed idee. Houd er echter rekening mee dat dit het updateproces van het App Center kan verstoren.
Hoe weet ik of ik getroffen ben?
Eclypsium heeft hier een lijst met 271 getroffen moederborden [PDF].
Wat heeft Gigabyte te zeggen?
Het register vroeg Gigabyte om commentaar. we laten het je weten als we iets horen. Eclypsium zegt samen te werken met de fabrikant om de kwetsbaarheid op te lossen.
Moet ik iedereen verwijderen die dacht dat het een goed idee zou zijn om UEFI-firmware automatisch en geruisloos Windows-services te laten installeren in de system32-map van mijn kerstkaartlijst?
Ja.
Moet ik in paniek raken?
Nee. ®
