محققان شرکت امنیتی زنجیره تامین و سفت افزار Eclypsium ادعا کرد که پیدا کرده است چیزی که آنها به طور چشمگیری در صدها مدل مادربرد از سازنده سخت افزار معروف گیگابایت به آن "درپشتی" لقب داده اند.
در واقع، عنوان Eclypsium به آن اشاره می کند نه صرفاً به عنوان یک درپشتی، اما همه با حروف بزرگ به صورت a درپشتی.
خبر خوب این است که به نظر می رسد این یک ویژگی مشروع است که به درستی اجرا شده است، بنابراین یک درب پشتی به معنای معمول و خائنانه یک حفره امنیتی نیست که وجود دارد. عمدا درج شده است به یک سیستم کامپیوتری برای ارائه دسترسی غیرمجاز در آینده.
بنابراین، مانند بازدیدکنندهای در روز نیست که آگاهانه یک پنجره کمتر شناخته شده را در پشت ساختمان باز کند تا بتواند زیر پوشش تاریکی بازگردد و محل اتصال را به هم بزند.
خبر بد این است که به نظر می رسد این یک ویژگی قانونی است که به خوبی اجرا شده است و رایانه های آسیب دیده را به طور بالقوه در برابر سوء استفاده مجرمان سایبری آسیب پذیر می کند.
بنابراین، کمی شبیه یک پنجره کمتر شناخته شده در پشت ساختمان است که به طور فراموشی به اشتباه قفل رها شده است.
به گفته Ecylpsium، این مشکل بخشی از یک سرویس گیگابایت است که به عنوان شناخته می شود مرکز برنامه، که به شما این امکان را می دهد که به راحتی تمام برنامه های گیگابایت نصب شده روی سیستم خود را راه اندازی کنید، به روز رسانی های مرتبط را به صورت آنلاین بررسی کنید و آخرین برنامه ها، درایورها و بایوس را دانلود کنید.
به روز رسانی خودکار با نقاط ضعف
به گفته محققان، مؤلفه باگ در این اکوسیستم مرکز APP، یک برنامه گیگابایتی است به نام GigabyteUpdateService.exe
، یک برنامه دات نت است که در %SystemRoot%System32
دایرکتوری (ریشه سیستم شما معمولاً است C:Windows
) و به صورت خودکار در هنگام راه اندازی به عنوان یک سرویس ویندوز اجرا می شود.
خدمات معادل ویندوز فرآیندهای پس زمینه یا دزدان در سیستمهای سبک یونیکس: آنها معمولاً تحت یک حساب کاربری خاص خود اجرا میشوند SYSTEM
حساب، و آنها همیشه در حال اجرا هستند، حتی اگر از سیستم خارج شوید و رایانه شما بدون ادعا در صفحه ورود منتظر بماند.
این GigabyteUpdateService
به نظر میرسد این برنامه دقیقاً همان کاری را انجام میدهد که نامش نشان میدهد: به عنوان یک دانلودکننده و نصب کننده خودکار برای سایر اجزای گیگابایت، که در بالا به عنوان برنامهها، درایورها و حتی خود سیستم عامل بایوس فهرست شدهاند، عمل میکند.
متأسفانه، طبق گفته Eclypsium، نرمافزار را از یکی از سه URL سیمکشی شده واکشی و اجرا میکند و به گونهای کدگذاری شده است که:
- یک URL از HTTP قدیمی ساده استفاده می کند، بنابراین هیچ حفاظتی از یکپارچگی رمزنگاری در طول دانلود ارائه نمی دهد. یک دستکاری کننده در وسط (MitM) که ترافیک شبکه شما از سرورهای آن عبور می کند نه تنها می تواند فایل هایی را که برنامه دانلود می کند رهگیری کند، بلکه می تواند به طور غیرقابل شناسایی آنها را در طول مسیر تغییر دهد، مثلاً با آلوده کردن آنها به بدافزار یا با جایگزین کردن آنها. با فایل های مختلف
- دو نشانی وب از HTTPS استفاده میکنند، اما ابزار بهروزرسانی گواهی HTTPS را که سرور در سمت دیگر ارسال میکند تأیید نمیکند. این بدان معناست که یک MitM میتواند یک گواهی وب صادر شده به نام سرور مورد انتظار دانلودکننده ارائه دهد، بدون اینکه نیازی به تایید و امضای آن گواهی توسط یک مرجع گواهی معتبر (CA) مانند Let's Encrypt، DigiCert یا GlobalSign باشد. کلاهبرداران به سادگی می توانند یک گواهی جعلی ایجاد کنند و خودشان آن را "ضمانت کنند".
- برنامههایی که دانلودکننده واکشی و اجرا میکند از نظر رمزنگاری تأیید نشدهاند تا بررسی شود که آیا واقعاً از گیگابایت آمدهاند. اگر فایل های دانلود شده به صورت دیجیتالی امضا نشده باشند، ویندوز اجازه اجرا نمی دهد، اما امضای دیجیتال هر سازمانی این کار را می کند. مجرمان سایبری معمولاً با استفاده از شرکتهای جعلی و یا با خرید کلیدهایی از وب تاریک که در نقض دادهها، حملات باجافزار و غیره به سرقت رفتهاند، کلیدهای امضای کد خود را به دست میآورند.
این به خودی خود به اندازه کافی بد است، اما مقداری بیشتر از آن در آن وجود دارد.
تزریق فایل به ویندوز
شما نمی توانید فقط بیرون بروید و نسخه جدیدی از آن را بگیرید GigabyteUpdateService
ابزار، زیرا ممکن است آن برنامه خاص به روشی غیرعادی وارد رایانه شما شده باشد.
میتوانید هر زمان که بخواهید ویندوز را دوباره نصب کنید، و یک تصویر استاندارد ویندوز نمیداند که آیا از مادربرد گیگابایت استفاده میکنید یا نه، بنابراین همراه آن نیست. GigabyteUpdateService.exe
از پیش نصب شده
بنابراین گیگابایت از یک ویژگی ویندوز به نام استفاده می کند WPBT، یا جدول باینری پلتفرم ویندوز (این به عنوان یک ویژگی توسط مایکروسافت ارائه شده است، اگرچه ممکن است زمانی که نحوه عملکرد آن را یاد می گیرید موافق نباشید).
این «ویژگی» به گیگابایت اجازه میدهد تا آن را تزریق کند GigabyteUpdateService
برنامه به System32
دایرکتوری، مستقیماً از بایوس شما خارج شود، حتی اگر درایو C: شما با Bitlocker رمزگذاری شده باشد.
WPBT مکانیزمی را برای سازندگان سیستم عامل فراهم می کند تا یک فایل اجرایی ویندوز را در تصاویر بایوس خود ذخیره کنند، آن را در حافظه در طول فرآیند پیش از راه اندازی سیستم عامل بارگذاری کنند و سپس به ویندوز بگویند: هنگامی که درایو C: را باز کردید و شروع به بوت شدن کردید، در این بلوک حافظه که برای شما گذاشتهام بخوانید، آن را روی دیسک بنویسید و در اوایل فرآیند راهاندازی آن را اجرا کنید.
بله ، شما آن را صحیح خوانده اید.
طبق مستندات خود مایکروسافت، تنها یک برنامه را می توان به ترتیب راه اندازی ویندوز به این روش تزریق کرد:
محل فایل روی دیسک است
WindowsSystem32Wpbbin.exe
روی حجم سیستم عامل
علاوه بر این، محدودیت های سخت گیرانه ای برای کدنویسی برای آن وجود دارد Wpbbin.exe
برنامه، به ویژه اینکه:
WPBT فقط از برنامه های بومی و حالت کاربر پشتیبانی می کند که توسط Session Manager ویندوز در طول اولیه سازی سیستم عامل اجرا می شوند. برنامه بومی به برنامه ای اطلاق می شود که وابستگی به API ویندوز (Win32) ندارد.
Ntdll.dll
تنها وابستگی DLL یک برنامه بومی است. یک برنامه بومی دارای زیرسیستم PE از نوع 1 (IMAGE_SUBSYSTEM_NATIVE
).
از کد حالت بومی گرفته تا برنامه دات نت
در این مرحله، احتمالاً از خود میپرسید که چگونه یک برنامه بومی سطح پایین که زندگی را شروع میکند Wpbbin.exe
به عنوان یک برنامه به روز رسانی مبتنی بر دات نت کامل نامیده می شود GigabyteUpdateService.exe
که به عنوان یک سرویس سیستم معمولی اجرا می شود.
خوب، به همان روشی که سیستم عامل گیگابایت (که خود نمی تواند تحت ویندوز اجرا شود) حاوی یک جاسازی شده است. IMAGE_SUBSYSTEM_NATIVE
برنامه WPBT که آن را در ویندوز "افتاده" می کند…
همچنین، کد حالت بومی WPBT (که خود نمی تواند به عنوان یک برنامه معمولی ویندوز اجرا شود) حاوی یک برنامه دات نت تعبیه شده است که آن را به داخل System32
دایرکتوری که بعداً در فرآیند بوت آپ ویندوز راه اندازی می شود.
به عبارت ساده، سیستم عامل شما دارای نسخه خاصی از آن است GigabyteUpdateService.exe
به آن اضافه شده است، و مگر اینکه و تا زمانی که سیستم عامل خود را بهروزرسانی نکنید، به دریافت نسخه سیمکشی شده سرویس بهروزرسانیکننده APP Center برای شما در زمان راهاندازی به ویندوز ادامه خواهید داد.
یک مشکل واضح مرغ و تخم مرغ در اینجا وجود دارد، به ویژه (و از قضا) اینکه اگر به اکوسیستم APP Center اجازه دهید سیستم عامل شما را به طور خودکار برای شما به روز کند، ممکن است در نهایت به مدیریت به روز رسانی شما توسط همان هارد سیمی بپردازید. سرویس بهروزرسانی آسیبپذیری که میخواهید جایگزین کنید.
به قول مایکروسافت (تاکید ما):
هدف اصلی WPBT این است که به نرم افزارهای حیاتی اجازه می دهد حتی زمانی که سیستم عامل تغییر کرده یا در یک پیکربندی "تمیز" مجدداً نصب شده است، باقی بماند. یکی از موارد استفاده برای WPBT فعال کردن نرم افزار ضد سرقت است که در صورت دزدیده شدن، فرمت کردن و نصب مجدد دستگاه لازم است همچنان باقی بماند. […] این عملکرد قدرتمند است و این قابلیت را برای فروشندگان مستقل نرم افزار (ISV) و سازندگان تجهیزات اصلی (OEM) فراهم می کند تا راه حل های خود را به طور نامحدود به دستگاه بچسبانند.
از آنجا که این ویژگی توانایی اجرای مداوم نرم افزار سیستم را در زمینه ویندوز فراهم می کند. بسیار مهم است که راه حل های مبتنی بر WPBT تا حد امکان امن باشند و کاربران ویندوز را در معرض شرایط قابل بهره برداری قرار ندهند.. به طور خاص، راهحلهای WPBT نباید شامل بدافزار باشد (یعنی نرمافزار مخرب یا نرمافزار ناخواسته نصب شده بدون رضایت کافی کاربر).
کاملا.
چه کاری انجام دهید؟
آیا این واقعا یک "درپشتی" است؟
ما اینطور فکر نمیکنیم، زیرا ترجیح میدهیم این کلمه خاص را برای رفتارهای بدتر امنیت سایبری، مانند تضعیف عمدی الگوریتم های رمزگذاری، به طور عمدی در داخل رمزهای عبور پنهان، باز کردن مسیرهای فرمان و کنترل غیرمستند، و غیره.
به هر حال، خبر خوب این است که این تزریق برنامه مبتنی بر WPBT یک گزینه مادربرد گیگابایتی است که می توانید آن را خاموش کنید.
خود محققان اکلیپسیوم گفتند: "اگرچه به نظر می رسد این تنظیم به طور پیش فرض غیرفعال است، در سیستمی که ما بررسی کردیم فعال شده است." اما یک خواننده امنیت برهنه (نگاه کنید به در زیر نظر بدهید) می نویسد، من همین چند هفته پیش یک سیستم با برد ITX گیگابایت ساختم و مرکز برنامه گیگابایت [در بایوس] خارج از جعبه روشن شد.
بنابراین، اگر مادربرد گیگابایت دارید و نگران این به اصطلاح درب پشتی هستید، میتوانید به طور کامل از آن چشم پوشی کنید: به تنظیمات بایوس خود بروید و مطمئن شوید که دانلود و نصب APP Center گزینه خاموش است
حتی می توانید از نرم افزار امنیتی نقطه پایانی یا فایروال شبکه شرکتی خود استفاده کنید دسترسی به سه slug URL که به سرویس به روز رسانی ناامن متصل شده اند را مسدود کنید، که Eclypsium آن را به صورت زیر فهرست می کند:
http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4 https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4 https://software-nas SLASH Swhttp/LiveUpdate4
فقط برای روشن بودن، ما سعی نکردهایم این URLها را مسدود کنیم، بنابراین نمیدانیم که آیا دیگر بهروزرسانیهای ضروری یا مهم گیگابایت را از کار کردن مسدود میکنید، اگرچه ما گمان میکنیم که مسدود کردن دانلودها از طریق آن URL HTTP ایده خوبی است. .
ما از روی متن حدس می زنیم LiveUpdate4
در قسمت مسیر URL، که همچنان میتوانید بهروزرسانیها را بهصورت دستی دانلود و مدیریت کنید و آنها را به روش خود و در زمان دلخواه خود اجرا کنید…
... اما این فقط یک حدس است.
بنابراین، چشمان خود را برای به روز رسانی های گیگابایت باز نگه دارید.
که GigabyteUpdateService
این برنامه قطعاً می تواند با پیشرفت همراه باشد، و هنگامی که وصله شد، ممکن است لازم باشد سیستم عامل مادربرد خود را به روز کنید، نه فقط سیستم ویندوز خود را، تا مطمئن شوید که هنوز نسخه قدیمی را در سیستم عامل خود دفن نکرده اید و منتظر زنده شدن است. در آینده.
و اگر برنامه نویسی هستید که در حال نوشتن کد برای مدیریت دانلودهای مبتنی بر وب در ویندوز هستید، همیشه از HTTPS استفاده کنید و همیشه حداقل یک مجموعه اولیه از بررسی های تأیید گواهی را در هر سرور TLS که به آن متصل می شوید انجام دهید..
به خاطر اینکه تو میتونی.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoAiStream. Web3 Data Intelligence دانش تقویت شده دسترسی به اینجا.
- ضرب کردن آینده با آدرین اشلی. دسترسی به اینجا.
- خرید و فروش سهام در شرکت های PRE-IPO با PREIPO®. دسترسی به اینجا.
- منبع: https://nakedsecurity.sophos.com/2023/06/02/researchers-claim-windows-backdoor-affects-hundreds-of-gigabyte-motherboards/
- : دارد
- :است
- :نه
- $UP
- 1
- ٪۱۰۰
- a
- توانایی
- قادر
- درباره ما
- بالاتر
- مطلق
- سو استفاده کردن
- دسترسی
- مطابق
- حساب
- به دست آوردن
- اعمال
- پیش
- الگوریتم
- معرفی
- اجازه دادن
- اجازه می دهد تا
- در امتداد
- همچنین
- در مجموع
- همیشه
- an
- و
- هر
- API
- نرم افزار
- کاربرد
- برنامه های کاربردی
- برنامه های
- هستند
- دور و بر
- AS
- At
- حمله
- نویسنده
- قدرت
- خودکار
- خودکار
- بطور خودکار
- به عقب
- درپشتی
- زمینه
- تصویر پس زمینه
- بد
- بدی
- اساسی
- BE
- زیرا
- شود
- بوده
- رفتار
- بیت
- مسدود کردن
- انسداد
- تخته
- مرز
- پایین
- جعبه
- نقض
- بنا
- ساخته
- اما
- خریداری کردن
- by
- CA
- نام
- آمد
- CAN
- حمل
- ادامه دادن
- مورد
- مرکز
- گواهی نامه
- صدور گواهی
- تغییر
- بررسی
- چک
- ادعا
- واضح
- رمز
- کدگذاری شده
- برنامه نویسی
- رنگ
- بیا
- شرکت
- شرکت
- جزء
- اجزاء
- کامپیوتر
- کامپیوتر
- پیکر بندی
- اتصال
- رضایت
- شامل
- زمینه
- شرکت
- میتوانست
- پوشش
- ایجاد
- بحرانی
- رمزنگاری
- مجرمان سایبری
- امنیت سایبری
- تاریک
- وب سایت تیره
- داده ها
- خرابی داده ها
- به طور پیش فرض
- قطعا
- وابستگی
- گسترش
- دستگاه
- مختلف
- دیجیتال
- دیجیتالی
- مستقیما
- غیر فعال
- نمایش دادن
- do
- مستندات
- میکند
- نمی کند
- آیا
- دانلود
- دانلود
- به طور چشمگیری
- راندن
- درایور
- دوبله شده
- در طی
- e
- در اوایل
- به آسانی
- اکوسیستم
- جاسازی شده
- تاکید
- قادر ساختن
- فعال
- رمزگذاری
- رمزگذاری
- پایان
- نقطه پایانی
- امنیت پایانی
- به پایان می رسد
- کافی
- اطمینان حاصل شود
- به طور کامل
- تجهیزات
- معادل
- اتر (ETH)
- حتی
- کاملا
- مثال
- اجرا کردن
- اجرا شده
- انتظار می رود
- چشم ها
- واقعیت
- جعلی
- ویژگی
- کمی از
- پرونده
- فایل ها
- فایروال
- برای
- از جانب
- جلو
- قابلیت
- آینده
- عموما
- دریافت کنید
- گرفتن
- Go
- رفتن
- خوب
- گرفتن
- دسته
- سخت افزار
- آیا
- عنوان
- ارتفاع
- اینجا کلیک نمایید
- سوراخ
- در تردید بودن
- چگونه
- HTML
- HTTP
- HTTPS
- صدها نفر
- i
- اندیشه
- if
- تصویر
- تصاویر
- اجرا
- مهم
- بهبود
- in
- شامل
- مستقل
- تزریق کنید
- ناامن
- تمامیت
- به
- طعنه آمیز
- صادر
- IT
- ITS
- خود
- مشترک
- تنها
- نگاه داشتن
- کلید
- دانستن
- شناخته شده
- بعد
- آخرین
- راه اندازی
- راه اندازی
- یاد گرفتن
- کمترین
- ترک
- ترک کرد
- قانونی
- زندگی
- پسندیدن
- محدودیت
- ذکر شده
- لیست
- بار
- محل
- ساخت
- سازنده
- سازندگان
- نرم افزارهای مخرب
- مدیریت
- اداره می شود
- مدیر
- دستی
- تولید کنندگان
- حاشیه
- حداکثر عرض
- ممکن است..
- به معنی
- مکانیزم
- حافظه
- صرفا - فقط
- مایکروسافت
- قدرت
- اشتباه
- MITM
- مدل
- تغییر
- بیش
- باید
- امنیت برهنه
- نام
- بومی
- لازم
- نیاز
- نیازمند
- خالص
- شبکه
- ترافیک شبکه
- جدید
- اخبار
- نه
- طبیعی
- به ویژه
- واضح
- of
- خاموش
- غالبا
- قدیمی
- on
- ONE
- آنلاین
- فقط
- باز کن
- افتتاح
- عملیاتی
- سیستم عامل
- گزینه
- or
- اصلی
- دیگر
- ما
- خارج
- خود
- پلی اتیلن
- بخش
- ویژه
- عبور می کند
- مسیر
- پل
- انجام دادن
- با پشتکار
- تنگ
- ساده
- سکو
- افلاطون
- هوش داده افلاطون
- PlatoData
- نقطه
- موقعیت
- ممکن
- پست ها
- بالقوه
- قوی
- ترجیح می دهند
- در حال حاضر
- اصلی
- شاید
- مشکل
- روند
- فرآیندهای
- برنامه
- برنامهنویس
- برنامه ها
- حفاظت
- ارائه
- فراهم می کند
- ارائه
- هدف
- قرار دادن
- باجافزار
- حملات باج افزار
- نسبتا
- خواندن
- خواننده
- واقعا
- شناسایی شده
- اشاره دارد
- منظم
- مربوط
- نسبی
- جایگزین کردن
- ضروری
- محققان
- ذخیره
- راست
- ریشه
- دور
- به طور معمول
- دویدن
- در حال اجرا
- سعید
- همان
- گفتن
- پرده
- امن
- تیم امنیت لاتاری
- نرم افزار امنیتی
- دیدن
- به نظر می رسد
- می فرستد
- حس
- دنباله
- سرویس
- جلسه
- تنظیم
- محیط
- برپایی
- امضاء
- امضاء شده
- به سادگی
- So
- نرم افزار
- جامد
- مزایا
- برخی از
- خاص
- استاندارد
- آغاز شده
- شروع می شود
- شروع
- چوب
- هنوز
- به سرقت رفته
- opbevare
- سخت
- چنین
- حاکی از
- پشتیبانی از
- SVG
- سیستم
- سیستم های
- گفتن
- نسبت به
- که
- La
- آینده
- مفصل
- شان
- آنها
- خودشان
- سپس
- آنجا.
- از این رو
- اینها
- آنها
- فکر می کنم
- این
- اگر چه؟
- سه
- از طریق
- زمان
- TLS
- به
- هم
- بالا
- ترافیک
- انتقال
- شفاف
- سعی
- دور زدن
- تبدیل
- نوع
- زیر
- تا
- غیر معمول
- ناخواسته
- بروزرسانی
- به روز رسانی
- URL
- استفاده کنید
- مورد استفاده
- کاربر
- کاربران
- استفاده
- با استفاده از
- معمولا
- سودمندی
- تایید شده
- فروشندگان
- تایید
- بررسی
- نسخه
- بسیار
- از طريق
- مهمان
- حجم
- آسیب پذیر
- منتظر
- می خواهم
- بود
- مسیر..
- we
- وب
- مبتنی بر وب
- هفته
- خوب
- معروف
- بود
- چی
- چه زمانی
- چه
- که
- WHO
- که
- اراده
- پنجره
- کاربران ویندوز
- با
- بدون
- تعجب کردم
- کلمه
- کلمات
- کارگر
- با این نسخهها کار
- نگران
- نوشتن
- نوشته
- شما
- شما
- زفیرنت