Forskere hos firmware- og forsyningskædesikkerhedsfirmaet Eclypsium hævder at have fundet hvad de temmelig dramatisk har døbt en "bagdør" i hundredvis af bundkortmodeller fra den kendte hardwareproducent Gigabyte.
Faktisk refererer Eclypsiums overskrift til det ikke blot som en bagdør, men alt med store bogstaver som en BAGDØR.
Den gode nyhed er, at dette ser ud til at være en legitim funktion, der er blevet dårligt implementeret, så det er ikke en bagdør i den sædvanlige, forræderiske følelse af et sikkerhedshul, der er blevet bevidst indsat ind i et computersystem for at give uautoriseret adgang i fremtiden.
Så det er ikke som en gæst i dagtimerne, der bevidst åbner et lidt kendt vindue rundt om bygningens bagside, så de kan komme tilbage i ly af mørket og gøre indbrud i samlingen.
Den dårlige nyhed er, at dette ser ud til at være en legitim funktion, der er blevet dårligt implementeret, hvilket efterlader berørte computere potentielt sårbare over for misbrug fra cyberkriminelle.
Så det er lidt som et lidt kendt vindue rundt om bagsiden af bygningen, der ved en fejltagelse er blevet efterladt ulåst.
Problemet er ifølge Ecylpsium en del af en Gigabyte-tjeneste kendt som APP Center, Hvilket "giver dig mulighed for nemt at starte alle GIGABYTE apps installeret på dit system, tjekke relaterede opdateringer online og downloade de nyeste apps, drivere og BIOS."
Automatiske opdateringer med svagheder
Buggy-komponenten i dette APP Center-økosystem, siger forskerne, er et Gigabyte-program kaldet GigabyteUpdateService.exe
, et .NET-program, der er installeret i %SystemRoot%System32
mappe (dit systemrod er normalt C:Windows
), og kører automatisk ved opstart som en Windows-tjeneste.
Tjenester er Windows-ækvivalent til baggrundsprocesser eller dæmoner på Unix-lignende systemer: de kører generelt under deres egen brugerkonto, ofte SYSTEM
konto, og de kører hele tiden, selvom du logger ud, og din computer venter beskedent på logonskærmen.
Denne GigabyteUpdateService
Det ser ud til, at programmet gør præcis, hvad navnet antyder: det fungerer som en automatiseret downloader-og-installationsprogram for andre Gigabyte-komponenter, der er anført ovenfor som apps, drivere og endda selve BIOS-firmwaren.
Desværre, ifølge Eclypsium, henter og kører den software fra en af tre fastkablede URL'er og blev kodet på en sådan måde, at:
- Én URL bruger almindelig gammel HTTP og giver således ingen kryptografisk integritetsbeskyttelse under download. En manipulator-in-the-middle (MitM), hvis servere din netværkstrafik passerer, kan ikke kun opsnappe filer, som programmet downloader, men også uopdageligt ændre dem undervejs, for eksempel ved at inficere dem med malware eller ved at erstatte dem med forskellige filer helt.
- To URL'er bruger HTTPS, men opdateringsværktøjet bekræfter ikke det HTTPS-certifikat, som serveren i den anden ende sender tilbage. Det betyder, at en MitM kan præsentere et webcertifikat udstedt i navnet på den server, som downloaderen forventer, uden at skulle få det certifikat valideret og underskrevet af en anerkendt certifikatmyndighed (CA) såsom Let's Encrypt, DigiCert eller GlobalSign. Bedragere kunne simpelthen oprette et falsk certifikat og selv "godkende" for det.
- De programmer, som downloaderen henter og kører, er ikke valideret kryptografisk for at kontrollere, at de virkelig kom fra Gigabyte. Windows vil ikke lade de downloadede filer køre, hvis de ikke er digitalt signeret, men enhver organisations digitale signatur vil gøre det. Cyberkriminelle erhverver rutinemæssigt deres egne kodesigneringsnøgler ved at bruge falske frontfirmaer eller ved at købe nøgler ind fra det mørke web, der blev stjålet i forbindelse med databrud, ransomware-angreb og så videre.
Det er slemt nok i sig selv, men der er lidt mere i det end det.
Injicere filer i Windows
Du kan ikke bare gå ud og snuppe en ny version af GigabyteUpdateService
værktøj, fordi det pågældende program kan være kommet til din computer på en usædvanlig måde.
Du kan geninstallere Windows til enhver tid, og et standard Windows-billede ved ikke, om du skal bruge et Gigabyte bundkort eller ej, så det følger ikke med GigabyteUpdateService.exe
forudinstalleret.
Gigabyte bruger derfor en Windows-funktion kendt som WPBT eller Windows Platform binær tabel (det er præsenteret som en funktion af Microsoft, selvom du måske ikke er enig, når du lærer, hvordan det fungerer).
Denne "funktion" gør det muligt for Gigabyte at injicere GigabyteUpdateService
program ind i System32
mappe, direkte ud af din BIOS, selvom dit C:-drev er krypteret med Bitlocker.
WPBT giver firmwareproducenter en mekanisme til at gemme en Windows-eksekverbar fil i deres BIOS-billeder, indlæse den i hukommelsen under firmware-forstartsprocessen og derefter fortælle Windows, "Når du har låst C:-drevet op og startet op, skal du læse denne hukommelsesblok, som jeg har ladet ligge for dig, skrive det ud på disken og køre det tidligt i opstartsprocessen."
Ja, du læste det korrekt.
Ifølge Microsofts egen dokumentation kan kun ét program injiceres i Windows-startsekvensen på denne måde:
Filplaceringen på disken er
WindowsSystem32Wpbbin.exe
på operativsystemets volumen.
Derudover er der nogle strenge kodningsbegrænsninger på det Wpbbin.exe
program, især at:
WPBT understøtter kun indbyggede brugertilstandsapplikationer, der udføres af Windows Session Manager under initialisering af operativsystemet. En indbygget applikation refererer til en applikation, der ikke er afhængig af Windows API (Win32).
Ntdll.dll
er den eneste DLL-afhængighed af en indbygget applikation. En indbygget applikation har en PE-undersystemtype på 1 (IMAGE_SUBSYSTEM_NATIVE
).
Fra native-mode-kode til .NET-app
På dette tidspunkt spekulerer du sikkert på, hvordan en native app på lavt niveau, der starter livet som Wpbbin.exe
ender som et fuldt udbygget .NET-baseret opdateringsprogram kaldet GigabyteUpdateService.exe
der kører som en almindelig systemtjeneste.
Nå, på samme måde som Gigabyte-firmwaren (som ikke selv kan køre under Windows) indeholder en indlejret IMAGE_SUBSYSTEM_NATIVE
WPBT-program, som det "falder" ind i Windows...
…så også indeholder WPBT native-mode-koden (som ikke i sig selv kan køre som en almindelig Windows-app) en indlejret .NET-applikation, som den "slipper" ind i System32
mappe, der skal startes senere i Windows-opstartsprocessen.
Kort sagt har din firmware en specifik version af GigabyteUpdateService.exe
indbygget i det, og medmindre og indtil du opdaterer din firmware, vil du fortsætte med at få den fastkablede version af APP Center-opdateringstjenesten "introduceret" i Windows for dig ved opstart.
Der er et åbenlyst kylling-og-æg-problem her, især (og ironisk nok), at hvis du lader APP Center-økosystemet opdatere din firmware for dig automatisk, kan du meget vel ende med, at din opdatering bliver administreret af den samme fastkablede, indbygget i firmwaren, sårbar opdateringstjeneste, som du vil erstatte.
Med Microsofts ord (vores fremhævelse):
Det primære formål med WPBT er at tillade kritisk software at bestå, selv når operativsystemet er ændret eller blevet geninstalleret i en "ren" konfiguration. En brugssag for WPBT er at aktivere tyverisikringssoftware, som skal bestå i tilfælde af, at en enhed er blevet stjålet, formateret og geninstalleret. […] Denne funktionalitet er kraftfuld og giver uafhængige softwareleverandører (ISV'er) og originaludstyrsproducenter (OEM'er) mulighed for at få deres løsninger til at holde sig til enheden på ubestemt tid.
Fordi denne funktion giver mulighed for vedvarende at udføre systemsoftware i forbindelse med Windows, det bliver afgørende, at WPBT-baserede løsninger er så sikre som muligt og ikke udsætter Windows-brugere for udnyttelige forhold. Især må WPBT-løsninger ikke indeholde malware (dvs. skadelig software eller uønsket software installeret uden tilstrækkeligt brugerens samtykke).
Temmelig.
Hvad skal jeg gøre?
Er dette virkelig en "bagdør"?
Det tror vi ikke, fordi vi foretrækker at reservere det pågældende ord til mere slem cybersikkerhedsadfærd, som f.eks. bevidst svækkelse krypteringsalgoritmer, bevidst indbygget skjulte adgangskoder, åbner op udokumenterede kommando-og-kontrol-veje, og så videre.
Anyway, den gode nyhed er, at denne WPBT-baserede programinjektion er en Gigabyte bundkort mulighed, som du kan slå fra.
Eclypsium-forskerne sagde selv, "Selvom denne indstilling ser ud til at være deaktiveret som standard, var den aktiveret på det system, vi undersøgte," men en Naked Security-læser (se kommentar nedenfor) skriver, "Jeg byggede lige et system med et Gigabyte ITX-kort for et par uger siden, og Gigabyte App Center blev [tændt i BIOS] ud af æsken."
Så hvis du har et Gigabyte bundkort, og du er bekymret for denne såkaldte bagdør, kan du helt omgå det: Gå ind i din BIOS-opsætning og sørg for, at APP Center Download & Installer indstillingen er slået fra.
Du kan endda bruge din slutpunktsikkerhedssoftware eller din virksomheds netværksfirewall til blokere adgangen til de tre URL-slugs, der er forbundet til den usikre opdateringstjeneste, som Eclypsium angiver som:
http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4 https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4 https://software-nas SLASH Swhttp/LiveUpdate4
Bare for at være klar, har vi ikke prøvet at blokere disse URL'er, så vi ved ikke, om du vil blokere andre nødvendige eller vigtige Gigabyte-opdateringer fra at virke, selvom vi har mistanke om, at blokering af downloads via den HTTP-URL alligevel er en god idé .
Vi gætter, ud fra teksten LiveUpdate4
i stidelen af URL'en, at du stadig vil være i stand til at downloade og administrere opdateringer manuelt og implementere dem på din egen måde og på din egen tid...
…men det er kun et gæt.
Således, hold øjnene åbne for opdateringer fra Gigabyte.
Det GigabyteUpdateService
program kunne helt sikkert gøre med forbedringer, og når det er rettet, skal du muligvis opdatere dit bundkorts firmware, ikke kun dit Windows-system, for at sikre, at du ikke stadig har den gamle version begravet i din firmware, der venter på at komme tilbage til livet i fremtiden.
Og hvis du er en programmør, der skriver kode til at håndtere webbaserede downloads på Windows, brug altid HTTPS, og udfør altid mindst et grundlæggende sæt certifikatbekræftelsestjek på enhver TLS-server, du opretter forbindelse til.
Fordi du kan.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoAiStream. Web3 Data Intelligence. Viden forstærket. Adgang her.
- Udmøntning af fremtiden med Adryenn Ashley. Adgang her.
- Køb og sælg aktier i PRE-IPO-virksomheder med PREIPO®. Adgang her.
- Kilde: https://nakedsecurity.sophos.com/2023/06/02/researchers-claim-windows-backdoor-affects-hundreds-of-gigabyte-motherboards/
- :har
- :er
- :ikke
- $OP
- 1
- 15 %
- a
- evne
- I stand
- Om
- over
- absolutte
- misbrug
- adgang
- Ifølge
- Konto
- erhverve
- handlinger
- siden
- algoritmer
- Alle
- tillade
- tillader
- sammen
- også
- helt
- altid
- an
- ,
- enhver
- api
- app
- Anvendelse
- applikationer
- apps
- ER
- omkring
- AS
- At
- Angreb
- forfatter
- myndighed
- auto
- Automatiseret
- automatisk
- tilbage
- bagdør
- baggrund
- background-billede
- Bad
- dårligt
- grundlæggende
- BE
- fordi
- bliver
- været
- adfærd
- Bit
- Bloker
- blokering
- board
- grænse
- Bund
- Boks
- brud
- Bygning
- bygget
- men
- Købe
- by
- CA
- kaldet
- kom
- CAN
- bære
- Fortsæt
- tilfælde
- center
- certifikat
- Certifikatmyndighed
- ændret
- kontrollere
- Kontrol
- krav
- klar
- kode
- kodet
- Kodning
- farve
- Kom
- Virksomheder
- selskab
- komponent
- komponenter
- computer
- computere
- Konfiguration
- Tilslut
- samtykke
- indeholder
- sammenhæng
- Corporate
- kunne
- dæksel
- skabe
- kritisk
- kryptografisk
- cyberkriminelle
- Cybersecurity
- mørk
- Mørk Web
- data
- Databrænkelser
- Standard
- definitivt
- Afhængighed
- indsætte
- enhed
- forskellige
- digital
- digitalt
- direkte
- deaktiveret
- Skærm
- do
- dokumentation
- gør
- Er ikke
- Dont
- downloade
- downloads
- dramatisk
- køre
- drivere
- døbt
- i løbet af
- e
- Tidligt
- nemt
- økosystem
- indlejret
- vægt
- muliggøre
- aktiveret
- krypteret
- kryptering
- ende
- Endpoint
- Endpoint sikkerhed
- ender
- nok
- sikre
- helt
- udstyr
- Ækvivalent
- Ether (ETH)
- Endog
- præcist nok
- eksempel
- udføre
- henrettet
- forventer
- Øjne
- Faktisk
- falsk
- Feature
- få
- File (Felt)
- Filer
- firewall
- Til
- fra
- forsiden
- funktionalitet
- fremtiden
- generelt
- få
- få
- Go
- gå
- godt
- grab
- håndtere
- Hardware
- Have
- overskrift
- højde
- link.
- Hole
- hover
- Hvordan
- HTML
- http
- HTTPS
- Hundreder
- i
- idé
- if
- billede
- billeder
- implementeret
- vigtigt
- in
- omfatter
- uafhængig
- injicerbar
- usikker
- integritet
- ind
- ironisk
- Udstedt
- IT
- ITS
- selv
- fælles
- lige
- Holde
- nøgler
- Kend
- kendt
- senere
- seneste
- lancere
- lanceret
- LÆR
- mindst
- forlader
- til venstre
- legitim
- Livet
- ligesom
- begrænsninger
- Børsnoterede
- Lister
- belastning
- placering
- lave
- maker
- Makers
- malware
- administrere
- lykkedes
- leder
- manuelt
- Producenter
- Margin
- max-bredde
- Kan..
- midler
- mekanisme
- Hukommelse
- blot
- microsoft
- måske
- fejltagelse
- MITM
- modeller
- ændre
- mere
- skal
- Naked Security
- navn
- indfødte
- nødvendig
- Behov
- behøve
- netto
- netværk
- netværkstrafik
- Ny
- nyheder
- ingen
- normal
- især
- Obvious
- of
- off
- tit
- Gammel
- on
- ONE
- online
- kun
- åbent
- åbning
- drift
- operativsystem
- Option
- or
- original
- Andet
- vores
- ud
- egen
- P&E
- del
- særlig
- gennemløb
- sti
- paul
- udføre
- vedvarende
- skingre
- Almindeligt
- perron
- plato
- Platon Data Intelligence
- PlatoData
- Punkt
- position
- mulig
- Indlæg
- potentielt
- vigtigste
- foretrække
- præsentere
- primære
- sandsynligvis
- Problem
- behandle
- Processer
- Program
- programmør
- Programmer
- beskyttelse
- give
- giver
- leverer
- formål
- sætte
- ransomware
- Ransomware angreb
- hellere
- Læs
- Læser
- virkelig
- anerkendt
- refererer
- fast
- relaterede
- relative
- erstatte
- påkrævet
- forskere
- Reserve
- højre
- rod
- rundt
- rutinemæssigt
- Kør
- kører
- Said
- samme
- siger
- Skærm
- sikker
- sikkerhed
- Sikkerhedssoftware
- se
- synes
- sender
- forstand
- Sequence
- tjeneste
- Session
- sæt
- indstilling
- setup
- underskrive
- underskrevet
- ganske enkelt
- So
- Software
- solid
- Løsninger
- nogle
- specifikke
- standard
- påbegyndt
- starter
- opstart
- Stick
- Stadig
- stjålet
- butik
- streng
- sådan
- foreslår
- Understøtter
- SVG
- systemet
- Systemer
- fortælle
- end
- at
- Fremtiden
- leddet
- deres
- Them
- selv
- derefter
- Der.
- derfor
- Disse
- de
- tror
- denne
- selvom?
- tre
- Gennem
- tid
- TLS
- til
- også
- top
- Trafik
- overgang
- gennemsigtig
- forsøgte
- TUR
- Drejede
- typen
- under
- indtil
- usædvanlig
- uønsket
- Opdatering
- opdateringer
- URL
- brug
- brug tilfælde
- Bruger
- brugere
- bruger
- ved brug af
- sædvanligvis
- nytte
- valideret
- leverandører
- Verifikation
- verificere
- udgave
- meget
- via
- Visitor
- bind
- Sårbar
- Venter
- ønsker
- var
- Vej..
- we
- web
- web-baseret
- uger
- GODT
- Kendt
- var
- Hvad
- hvornår
- hvorvidt
- som
- WHO
- hvis
- vilje
- vinduer
- Windows-brugere
- med
- uden
- undrende
- ord
- ord
- arbejder
- virker
- bekymret
- skriver
- skrivning
- dig
- Din
- zephyrnet