Püsivara ja tarneahela turvaettevõtte Eclypsium teadlased väidetavalt leidnud mida nad on tuntud riistvaratootja Gigabyte'i sadades emaplaadimudelites üsna dramaatiliselt nimetanud "tagaukseks".
Tegelikult viitab Eclypsiumi pealkiri sellele mitte ainult kui a tagauks, kuid kõik suurtähtedega kui a TAGAUKS.
Hea uudis on see, et see näib olevat õigustatud funktsioon, mida on halvasti rakendatud, nii et see ei ole tagauks tavapärases, reetlikus mõttes turvaaugust, mis on olnud tahtlikult sisestatud arvutisüsteemi, et võimaldada tulevikus volitamata juurdepääsu.
Seega ei ole see nii, et päevakülaline avab teadlikult hoone tagaküljel oleva vähetuntud akna, et saaks pimeduse varjus tagasi tulla ja vuuki sisse murda.
Halb uudis on see, et see näib olevat seaduslik funktsioon, mida on halvasti rakendatud, jättes mõjutatud arvutid potentsiaalselt haavatavaks küberkurjategijate kuritarvitamise suhtes.
Niisiis, see on natuke nagu vähetuntud aken hoone tagaküljel, mis on unustamatult kogemata lukustamata jäetud.
Ecylpsiumi sõnul on probleem osa Gigabyte'i teenusest, mida tuntakse kui APP keskus, Mis "võimaldab teil hõlpsalt käivitada kõik teie süsteemi installitud GIGABYTE rakendused, kontrollida seotud värskendusi võrgus ja alla laadida uusimad rakendused, draiverid ja BIOS."
Automaatsed värskendused nõrkustega
Teadlaste sõnul on selle APP Centeri ökosüsteemi lollakas komponent Gigabaidi programm nimega GigabyteUpdateService.exe
.NET-i rakendus, mis on installitud %SystemRoot%System32
kataloog (teie süsteemi juur on tavaliselt C:Windows
) ja käivitatakse automaatselt Windowsi teenusena.
Teenused on Windowsi vasted taustprotsessidele või deemonid Unixi stiilis süsteemides: need töötavad tavaliselt oma kasutajakonto all, sageli SYSTEM
konto ja need töötavad kogu aeg, isegi kui logite välja ja teie arvuti ootab sisselogimisekraanil tagasihoidlikult.
see GigabyteUpdateService
Näib, et programm teeb täpselt seda, mida selle nimi viitab: see toimib automaatse allalaadija ja installijana teistele Gigabyte'i komponentidele, mis on loetletud ülal rakenduste, draiverite ja isegi BIOS-i püsivara enda jaoks.
Kahjuks laadib Eclypsiumi andmetel see tarkvara ühelt kolmest juhtmega URL-ist ja käitab seda ning kodeeriti järgmiselt:
- Üks URL kasutab tavalist vana HTTP-d, mis ei paku allalaadimise ajal krüptograafilist terviklikkuse kaitset. Manipulaator-in-the-middle (MitM), kelle serverite kaudu teie võrguliiklus liigub, ei saa mitte ainult kinni pidada kõiki programmi allalaaditavaid faile, vaid ka neid märkamatult muuta, näiteks nakatades neid pahavaraga või asendades need täiesti erinevate failidega.
- Kaks URL-i kasutavad HTTPS-i, kuid värskendusutiliit ei kinnita HTTPS-i sertifikaati, mille teises otsas server tagasi saadab. See tähendab, et MitM saab esitada veebisertifikaadi, mis on välja antud selle serveri nimel, mida allalaadija ootab, ilma et see peaks sertifikaadi kinnitama ja allkirjastama tunnustatud sertifitseerimisasutuse (CA), nagu Let's Encrypt, DigiCert või GlobalSign, poolt. Petturid võiksid lihtsalt luua võltsitud sertifikaadi ja selle eest ise käendada.
- Programme, mille allalaadija toob ja käivitab, ei valideerita krüptograafiliselt, et kontrollida, kas need on tõesti pärit Gigabyte'ist. Windows ei lase allalaaditud faile käivitada, kui need pole digitaalselt allkirjastatud, kuid mis tahes organisatsiooni digitaalallkiri teeb seda. Küberkurjategijad omandavad rutiinselt oma koodi allkirjastamise võtmed, kasutades võltsitud varifirmasid või ostes tumedast veebist võtmeid, mis varastati andmetega seotud rikkumiste, lunavararünnakute jms käigus.
See on iseenesest piisavalt halb, kuid selles on midagi enamat.
Failide sisestamine Windowsi
Te ei saa lihtsalt välja minna ja hankida selle uut versiooni GigabyteUpdateService
utiliit, sest see konkreetne programm võis jõuda teie arvutisse ebatavalisel viisil.
Saate Windowsi igal ajal uuesti installida ja tavaline Windowsi pilt ei tea, kas te kavatsete kasutada Gigabyte'i emaplaati või mitte, nii et see pole kaasas GigabyteUpdateService.exe
eelinstallitud.
Seetõttu kasutab Gigabyte Windowsi funktsiooni, mida tuntakse kui WPBTvõi Windowsi platvormi binaartabel (Selle on Microsofti funktsioon, kuigi te ei pruugi sellega nõustuda, kui õpite selle toimimist).
See "funktsioon" võimaldab Gigabyte'il süstida GigabyteUpdateService
programmi sisse System32
kataloogi otse BIOS-ist välja, isegi kui teie C: draiv on Bitlockeriga krüptitud.
WPBT pakub püsivara tootjatele mehhanismi, et salvestada Windowsi käivitatav fail oma BIOS-i kujutistesse, laadida see püsivara eelkäivitusprotsessi ajal mällu ja seejärel öelda Windowsile, "Kui olete C: draivi lukust vabastanud ja käivitamist alustanud, lugege seda mäluplokki, mille ma teie jaoks jätsin, kirjutage see kettale ja käivitage see käivitusprotsessi alguses."
Jah, lugesite seda õigesti.
Microsofti enda dokumentatsiooni kohaselt saab Windowsi käivitusjärjestusse sisestada ainult ühe programmi järgmiselt:
Ketta faili asukoht on
WindowsSystem32Wpbbin.exe
operatsioonisüsteemi helitugevuse kohta.
Lisaks on sellele seatud mõned ranged kodeerimispiirangud Wpbbin.exe
programm, eriti see:
WPBT toetab ainult natiivseid kasutajarežiimi rakendusi, mida Windows Session Manager käivitab operatsioonisüsteemi lähtestamise ajal. Omarakendus viitab rakendusele, mis ei sõltu Windowsi API-st (Win32).
Ntdll.dll
on loomuliku rakenduse ainus DLL-sõltuvus. Omarakendusel on PE alamsüsteemi tüüp 1 (IMAGE_SUBSYSTEM_NATIVE
).
Omarežiimi koodist .NET-i rakenduseni
Siinkohal mõtlete ilmselt, kuidas madala tasemega omarakendus, mis alustab elu Wpbbin.exe
lõppeb täiemahulise .NET-põhise värskendusrakendusena nimega GigabyteUpdateService.exe
mis töötab tavalise süsteemiteenusena.
Noh, samamoodi nagu Gigabyte'i püsivara (mis ei saa ise Windowsis töötada) sisaldab manustatud IMAGE_SUBSYSTEM_NATIVE
WPBT programm, mis see Windowsi "kukkub" ...
...nii ka WPBT natiivse režiimi kood (mis ise ei saa töötada tavalise Windowsi rakendusena) sisaldab manustatud .NET-i rakendust, mille see "tilgutab" System32
kataloog, mis käivitatakse hiljem Windowsi alglaadimisprotsessis.
Lihtsamalt öeldes on teie püsivaral konkreetne versioon GigabyteUpdateService.exe
ja kuni te oma püsivara ei värskenda, jätkate selle APP Centeri värskendusteenuse juhtmega versiooni Windowsi alglaadimise ajal sissetoomist.
Siin on ilmne kana ja muna probleem, eriti (ja iroonilisel kombel) see, et kui lasete APP Centeri ökosüsteemil oma püsivara automaatselt enda eest värskendada, võib juhtuda, et teie värskendust hakkab haldama sama juhtmega. püsivara sisseehitatud haavatav värskendusteenus, mille soovite asendada.
Microsofti sõnadega (meie rõhuasetus):
WPBT peamine eesmärk on võimaldada kriitilisel tarkvaral püsida isegi siis, kui operatsioonisüsteemi on muudetud või kui see on uuesti installitud "puhta" konfiguratsiooniga. Üks WPBT kasutusjuht on vargusvastase tarkvara lubamine, mis on vajalik seadme varastamise, vormindamise ja uuesti installimise korral. […] See funktsioon on võimas ja annab sõltumatutele tarkvaramüüjatele (ISV) ja originaalseadmete tootjatele (OEM) võimaluse lasta oma lahendused seadmega lõputult kinni jääda.
Kuna see funktsioon võimaldab Windowsi kontekstis süsteemitarkvara püsivalt käivitada, muutub kriitiliseks, et WPBT-põhised lahendused oleksid võimalikult turvalised ega jätaks Windowsi kasutajaid ekspluateeritavatele tingimustele. Eelkõige ei tohi WPBT-lahendused sisaldada pahavara (st pahatahtlikku tarkvara või soovimatut tarkvara, mis on installitud ilma piisava kasutaja nõusolekuta).
Üsna.
Mida teha?
Kas see on tõesti "tagauks"?
Me ei arva nii, sest eelistaksime reserveerida selle konkreetse sõna alatumate küberjulgeolekukäitumiste jaoks, nagu näiteks tahtlikult nõrgenemine krüpteerimisalgoritmid, teadlikult sisse ehitatud peidetud paroolid, avanema dokumenteerimata käsu- ja kontrollirajad, ja nii edasi.
Igatahes on hea uudis see, et see WPBT-põhine programmisüst on Gigabyte emaplaadi valik, mille saate välja lülitada.
Eclypsiumi teadlased ise ütlesid, "Kuigi see seade näib olevat vaikimisi keelatud, oli see meie uuritud süsteemis lubatud." vaid Naked Security lugeja (vt kommenteerige allpool) kirjutab, "Ma ehitasin just paar nädalat tagasi süsteemi Gigabyte ITX-plaadiga ja Gigabyte'i rakenduste keskus [lülitati BIOS-is sisse] karbist välja."
Seega, kui teil on Gigabyte'i emaplaat ja olete selle nn tagaukse pärast mures, võite sellest täielikult kõrvale hiilida: Minge oma BIOS-i seadistusse ja veenduge, et APP Centeri allalaadimine ja installimine valik on välja lülitatud.
Võite isegi kasutada oma lõpp-punkti turbetarkvara või ettevõtte võrgu tulemüüri blokeerige juurdepääs kolmele ebaturvalise värskendusteenusega ühendatud URL-i nälkjale, mida Eclypsium loetleb järgmiselt:
http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4 https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4 https://software-nas SLASH Swhttp/LiveUpdate4
Selguse huvides, me ei ole proovinud neid URL-e blokeerida, seega ei tea me, kas blokeeriksite mõne muu vajaliku või olulise gigabaidise värskenduse töötamise, kuigi kahtlustame, et allalaadimiste blokeerimine selle HTTP URL-i kaudu on igal juhul hea mõte. .
Oletame teksti põhjal LiveUpdate4
URL-i teeosas, et saate siiski värskendusi käsitsi alla laadida ja hallata ning neid omal moel ja õigel ajal juurutada...
…aga see on vaid oletus.
Niisiis, hoidke silmad lahti Gigabyte'i värskenduste jaoks.
Et GigabyteUpdateService
Programmi saab kindlasti täiustada ja kui see on paigatud, peate võib-olla värskendama oma emaplaadi püsivara, mitte ainult Windowsi süsteemi, tagamaks, et teie püsivarasse poleks maetud vana versiooni, mis ootab ellu naasmist. tulevikus.
Ja kui olete programmeerija, kes kirjutab Windowsi veebipõhiste allalaadimiste haldamiseks koodi, kasutage alati HTTPS-i ja tehke igas TLS-serveris, millega ühenduse loote, alati vähemalt põhikomplekt sertifikaadi kinnitamise kontrolle.
Sest sa saad.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoAiStream. Web3 andmete luure. Täiustatud teadmised. Juurdepääs siia.
- Tuleviku rahapaja Adryenn Ashley. Juurdepääs siia.
- Ostke ja müüge IPO-eelsete ettevõtete aktsiaid koos PREIPO®-ga. Juurdepääs siia.
- Allikas: https://nakedsecurity.sophos.com/2023/06/02/researchers-claim-windows-backdoor-affects-hundreds-of-gigabyte-motherboards/
- :on
- :on
- :mitte
- $ UP
- 1
- 15%
- a
- võime
- Võimalik
- MEIST
- üle
- absoluutne
- kuritarvitamise
- juurdepääs
- Vastavalt
- konto
- omandama
- õigusaktid
- tagasi
- algoritme
- Materjal: BPA ja flataatide vaba plastik
- võimaldama
- võimaldab
- mööda
- Ka
- kokku
- alati
- an
- ja
- mistahes
- API
- app
- taotlus
- rakendused
- apps
- OLEME
- ümber
- AS
- At
- Reageerib
- autor
- asutus
- auto
- Automatiseeritud
- automaatselt
- tagasi
- tagauks
- tagapõhi
- background-image
- Halb
- halvasti
- põhiline
- BE
- sest
- muutub
- olnud
- käitumist
- Natuke
- Blokeerima
- blokeerimine
- juhatus
- piir
- põhi
- Kast
- rikkumisi
- Ehitus
- ehitatud
- kuid
- Ostmine
- by
- CA
- kutsutud
- tuli
- CAN
- viima
- Jätka
- juhul
- keskus
- sertifikaat
- Sertifikaadi asutus
- muutunud
- kontrollima
- Kontroll
- nõudma
- selge
- kood
- kodeeritud
- Kodeerimine
- värv
- Tulema
- Ettevõtted
- ettevõte
- komponent
- komponendid
- arvuti
- arvutid
- konfiguratsioon
- Võta meiega ühendust
- nõusolek
- sisaldab
- kontekst
- Korporatiivne
- võiks
- cover
- looma
- kriitiline
- krüptograafia
- küberkurjategijad
- Küberturvalisus
- tume
- Dark Web
- andmed
- Andmete rikkumine
- vaikimisi
- kindlasti
- Sõltuvus
- juurutada
- seade
- erinev
- digitaalne
- digitaalselt
- otse
- blokeeritud
- Ekraan
- do
- dokumentatsioon
- ei
- Ei tee
- Ära
- lae alla
- allalaadimine
- dramaatiliselt
- ajam
- draiverid
- dubleeritud
- ajal
- e
- Varajane
- kergesti
- ökosüsteemi
- varjatud
- rõhk
- võimaldama
- lubatud
- krüpteeritud
- krüpteerimist
- lõpp
- Lõpp-punkt
- Lõpp-punkti turvalisus
- lõppeb
- piisavalt
- tagama
- täielikult
- seadmed
- Samaväärne
- Eeter (ETH)
- Isegi
- täpselt
- näide
- täitma
- täidetud
- ootab
- silmad
- asjaolu
- võlts
- tunnusjoon
- vähe
- fail
- Faile
- tulemüüri
- eest
- Alates
- esi-
- funktsionaalsus
- tulevik
- üldiselt
- saama
- saamine
- Go
- läheb
- hea
- rüütama
- käepide
- riistvara
- Olema
- pealkiri
- kõrgus
- siin
- Auk
- hõljuma
- Kuidas
- HTML
- http
- HTTPS
- sajad
- i
- idee
- if
- pilt
- pildid
- rakendatud
- oluline
- paranemine
- in
- sisaldama
- sõltumatud
- süstima
- ebakindel
- terviklikkuse
- sisse
- Irooniline
- Välja antud
- IT
- ITS
- ise
- ühine
- lihtsalt
- hoidma
- võtmed
- Teadma
- teatud
- pärast
- hiljemalt
- algatama
- käivitatud
- Õppida
- kõige vähem
- jätmine
- lahkus
- õigustatud
- elu
- nagu
- piirangud
- Loetletud
- Nimekirjad
- koormus
- liising
- tegema
- tegija
- Tegijad
- malware
- juhtima
- juhitud
- juht
- käsitsi
- Tootjad
- Varu
- max laiuse
- mai..
- vahendid
- mehhanism
- Mälu
- ainult
- Microsoft
- võib
- viga
- MITM
- mudelid
- muutma
- rohkem
- peab
- Alasti turvalisus
- nimi
- emakeelena
- vajalik
- Vajadus
- vajav
- neto
- võrk
- võrguliiklus
- Uus
- uudised
- ei
- normaalne
- eelkõige
- Ilmne
- of
- maha
- sageli
- Vana
- on
- ONE
- Internetis
- ainult
- avatud
- avamine
- tegutsevad
- operatsioonisüsteemi
- valik
- or
- originaal
- Muu
- meie
- välja
- enda
- P&E
- osa
- eriline
- möödub
- tee
- Paul
- täitma
- püsivalt
- tasane
- tavaline
- inimesele
- Platon
- Platoni andmete intelligentsus
- PlatoData
- Punkt
- positsioon
- võimalik
- Postitusi
- potentsiaalselt
- võimas
- eelistama
- esitada
- esmane
- tõenäoliselt
- Probleem
- protsess
- Protsessid
- Programm
- Programmeerija
- Programmid
- kaitse
- anda
- annab
- pakkudes
- eesmärk
- panema
- ransomware
- Lunavara rünnakud
- pigem
- Lugenud
- lugeja
- tõesti
- tunnustatud
- viitab
- regulaarne
- seotud
- suhteline
- asendama
- nõutav
- Teadlased
- Reserv
- õige
- juur
- ümber
- regulaarselt
- jooks
- jooksmine
- Ütlesin
- sama
- ütlema
- Ekraan
- kindlustama
- turvalisus
- Turvatarkvara
- vaata
- tundub
- saadab
- tunne
- Jada
- teenus
- istung
- komplekt
- kehtestamine
- seade
- kirjutama
- allkirjastatud
- lihtsalt
- So
- tarkvara
- tahke
- Lahendused
- mõned
- konkreetse
- standard
- alustatud
- algab
- käivitamisel
- kepp
- Veel
- varastatud
- salvestada
- range
- selline
- Soovitab
- Toetab
- SVG
- süsteem
- süsteemid
- öelda
- kui
- et
- .
- Tulevik
- liiges
- oma
- Neile
- ennast
- SIIS
- Seal.
- seetõttu
- Need
- nad
- mõtlema
- see
- kuigi?
- kolm
- Läbi
- aeg
- TLS
- et
- liiga
- ülemine
- liiklus
- üleminek
- läbipaistev
- proovitud
- Pöörake
- Pöördunud
- tüüp
- all
- kuni
- ebatavaline
- soovimatu
- Värskendused
- Uudised
- URL
- kasutama
- kasutage juhtumit
- Kasutaja
- Kasutajad
- kasutusalad
- kasutamine
- tavaliselt
- kasulikkus
- kinnitatud
- müüjad
- Kontrollimine
- kontrollima
- versioon
- väga
- kaudu
- Külaline
- maht
- Haavatav
- ootamine
- tahan
- oli
- Tee..
- we
- web
- Veebipõhine
- nädalat
- Hästi
- hästi tuntud
- olid
- M
- millal
- kas
- mis
- WHO
- kelle
- will
- aknad
- Windowsi kasutajad
- koos
- ilma
- ei tea
- sõna
- sõnad
- töö
- töötab
- mures
- kirjutama
- kirjutamine
- sa
- Sinu
- sephyrnet