Peneliti di firmware dan perusahaan keamanan rantai pasokan Eclypsium mengklaim telah ditemukan apa yang mereka sebut secara dramatis sebagai "pintu belakang" dalam ratusan model motherboard dari pembuat perangkat keras Gigabyte yang terkenal.
Bahkan, tajuk Eclypsium merujuknya bukan hanya sebagai a pintu belakang, tetapi semuanya dalam huruf besar sebagai a PINTU BELAKANG.
Kabar baiknya adalah bahwa ini tampaknya menjadi fitur yang sah yang telah diimplementasikan dengan buruk, jadi ini bukan pintu belakang dalam pengertian lubang keamanan yang biasa dan berbahaya. sengaja dimasukkan ke dalam sistem komputer untuk menyediakan akses tidak sah di masa depan.
Jadi, ini tidak seperti pengunjung siang hari yang dengan sengaja membuka jendela kecil di bagian belakang gedung sehingga mereka dapat kembali dalam kegelapan dan merampok sambungan.
Kabar buruknya adalah bahwa ini tampaknya merupakan fitur sah yang telah diterapkan dengan buruk, membuat komputer yang terpengaruh berpotensi rentan terhadap penyalahgunaan oleh penjahat dunia maya.
Jadi, ini seperti jendela kecil di bagian belakang gedung yang tidak sengaja dibiarkan tidak terkunci.
Masalahnya, menurut Ecylpsium, adalah bagian dari layanan Gigabyte yang dikenal sebagai Pusat Aplikasi, yang “memungkinkan Anda dengan mudah meluncurkan semua aplikasi GIGABYTE yang terinstal di sistem Anda, memeriksa pembaruan terkait secara online, dan mengunduh aplikasi, driver, dan BIOS terbaru.”
Pembaruan otomatis dengan kelemahan
Komponen buggy dalam ekosistem APP Center ini, kata para peneliti, adalah program Gigabyte yang disebut GigabyteUpdateService.exe
, aplikasi .NET yang diinstal di %SystemRoot%System32
direktori (root sistem Anda biasanya C:Windows
), dan berjalan secara otomatis saat memulai sebagai layanan Windows.
Layanan apakah Windows setara dengan proses latar belakang atau daemon pada sistem bergaya Unix: mereka umumnya berjalan di bawah akun pengguna mereka sendiri, seringkali SYSTEM
akun, dan mereka tetap berjalan sepanjang waktu, bahkan jika Anda keluar dan komputer Anda menunggu dengan sederhana di layar masuk.
Kredensial mikro GigabyteUpdateService
program, tampaknya, melakukan persis seperti namanya: ia bertindak sebagai pengunduh dan penginstal otomatis untuk komponen Gigabyte lainnya, yang tercantum di atas sebagai aplikasi, driver, dan bahkan firmware BIOS itu sendiri.
Sayangnya, menurut Eclypsium, itu mengambil dan menjalankan perangkat lunak dari salah satu dari tiga URL terprogram, dan diberi kode sedemikian rupa sehingga:
- Satu URL menggunakan HTTP biasa, sehingga tidak memberikan perlindungan integritas kriptografi selama pengunduhan. Seorang manipulator-in-the-middle (MitM) melalui server yang dilewati lalu lintas jaringan Anda tidak hanya dapat mencegat file apa pun yang diunduh program, tetapi juga memodifikasinya secara tidak terdeteksi di sepanjang jalan, misalnya dengan menginfeksinya dengan malware, atau dengan menggantinya dengan file yang berbeda sama sekali.
- Dua URL menggunakan HTTPS, tetapi utilitas pembaruan tidak memverifikasi sertifikat HTTPS yang dikirimkan kembali oleh server di ujung lainnya. Ini berarti bahwa MitM dapat menyajikan sertifikat web yang dikeluarkan atas nama server yang diharapkan pengunduh, tanpa perlu mendapatkan sertifikat yang divalidasi dan ditandatangani oleh otoritas sertifikat (CA) yang diakui seperti Let's Encrypt, DigiCert, atau GlobalSign. Penipu dapat dengan mudah membuat sertifikat palsu dan "menjamin" sendiri.
- Program yang diambil dan dijalankan oleh pengunduh tidak divalidasi secara kriptografis untuk memeriksa apakah program tersebut benar-benar berasal dari Gigabyte. Windows tidak akan membiarkan file yang diunduh berjalan jika tidak ditandatangani secara digital, tetapi tanda tangan digital organisasi mana pun akan melakukannya. Penjahat dunia maya secara rutin mendapatkan kunci penandatanganan kode mereka sendiri dengan menggunakan perusahaan palsu, atau dengan membeli kunci dari web gelap yang dicuri dalam pelanggaran data, serangan ransomware, dan sebagainya.
Itu sendiri sudah cukup buruk, tapi ada sedikit lebih dari itu.
Menyuntikkan file ke Windows
Anda tidak bisa begitu saja keluar dan mengambil versi baru dari GigabyteUpdateService
utilitas, karena program tertentu itu mungkin tiba di komputer Anda dengan cara yang tidak biasa.
Anda dapat menginstal ulang Windows kapan saja, dan image Windows standar tidak mengetahui apakah Anda akan menggunakan motherboard Gigabyte atau tidak, jadi tidak disertakan GigabyteUpdateService.exe
sudah terpasang sebelumnya.
Oleh karena itu Gigabyte menggunakan fitur Windows yang dikenal sebagai WPBT, atau Tabel Biner Platform Windows (ini disebut sebagai fitur oleh Microsoft, meskipun Anda mungkin tidak setuju saat mempelajari cara kerjanya).
"Fitur" ini memungkinkan Gigabyte untuk menyuntikkan GigabyteUpdateService
program ke dalam System32
direktori, langsung dari BIOS Anda, meskipun drive C: Anda dienkripsi dengan Bitlocker.
WPBT menyediakan mekanisme bagi pembuat firmware untuk menyimpan file yang dapat dieksekusi Windows di gambar BIOS mereka, memuatnya ke dalam memori selama proses pra-boot firmware, dan kemudian memberi tahu Windows, "Setelah Anda membuka kunci drive C: dan mulai mem-boot, baca di blok memori yang saya tinggalkan untuk Anda, tulis ke disk, dan jalankan di awal proses startup."
Ya, Anda membacanya dengan benar.
Menurut dokumentasi Microsoft sendiri, hanya satu program yang dapat disuntikkan ke urutan startup Windows dengan cara ini:
Lokasi file di disk adalah
WindowsSystem32Wpbbin.exe
pada volume sistem operasi.
Selain itu, ada beberapa batasan pengkodean ketat yang diterapkan pada hal itu Wpbbin.exe
program, terutama bahwa:
WPBT hanya mendukung aplikasi mode pengguna asli yang dijalankan oleh Windows Session Manager selama inisialisasi sistem operasi. Aplikasi asli mengacu pada aplikasi yang tidak memiliki ketergantungan pada Windows API (Win32).
Ntdll.dll
adalah satu-satunya ketergantungan DLL dari aplikasi asli. Aplikasi asli memiliki tipe subsistem PE 1 (IMAGE_SUBSYSTEM_NATIVE
).
Dari kode mode asli hingga aplikasi .NET
Pada titik ini, Anda mungkin bertanya-tanya bagaimana aplikasi asli tingkat rendah yang memulai kehidupan Wpbbin.exe
berakhir sebagai aplikasi pembaruan berbasis .NET yang disebut GigabyteUpdateService.exe
yang berjalan sebagai layanan sistem reguler.
Nah, dengan cara yang sama firmware Gigabyte (yang tidak dapat berjalan sendiri di bawah Windows) berisi tertanam IMAGE_SUBSYSTEM_NATIVE
Program WPBT yang “dimasukkan” ke dalam Windows…
... jadi, juga, kode mode asli WPBT (yang tidak dapat dijalankan sendiri sebagai aplikasi Windows biasa) berisi aplikasi .NET tersemat yang "dimasukkan" ke dalam System32
direktori yang akan diluncurkan nanti dalam proses bootup Windows.
Sederhananya, firmware Anda memiliki versi tertentu GigabyteUpdateService.exe
dipanggang ke dalamnya, dan kecuali dan sampai Anda memperbarui firmware Anda, Anda akan terus mendapatkan versi terprogram dari layanan pembaru APP Center "diperkenalkan" ke Windows untuk Anda saat boot.
Ada masalah ayam-dan-telur yang jelas di sini, terutama (dan ironisnya) bahwa jika Anda membiarkan ekosistem APP Center memperbarui firmware Anda untuk Anda secara otomatis, Anda mungkin akan berakhir dengan pembaruan Anda dikelola oleh kabel yang sama, layanan pembaruan rentan yang ingin Anda ganti.
Dalam kata-kata Microsoft (penekanan kami):
Tujuan utama WPBT adalah untuk memungkinkan perangkat lunak penting tetap ada meskipun sistem operasi telah diubah atau diinstal ulang dalam konfigurasi "bersih". Salah satu kasus penggunaan WPBT adalah mengaktifkan perangkat lunak anti-pencurian yang diperlukan untuk bertahan jika perangkat telah dicuri, diformat, dan diinstal ulang. […] Fungsionalitas ini sangat kuat dan memberikan kemampuan bagi vendor perangkat lunak independen (ISV) dan produsen peralatan asli (OEM) untuk membuat solusi mereka melekat pada perangkat tanpa batas.
Karena fitur ini memberikan kemampuan untuk menjalankan perangkat lunak sistem secara terus-menerus dalam konteks Windows, menjadi penting bahwa solusi berbasis WPBT seaman mungkin dan tidak memaparkan pengguna Windows ke kondisi yang dapat dieksploitasi. Secara khusus, solusi WPBT tidak boleh menyertakan malware (yaitu, perangkat lunak berbahaya atau perangkat lunak yang tidak diinginkan yang diinstal tanpa persetujuan pengguna yang memadai).
Cukup.
Apa yang harus dilakukan?
Apakah ini benar-benar "pintu belakang"?
Kami tidak berpikir demikian, karena kami lebih suka menggunakan kata tersebut untuk perilaku keamanan siber yang lebih jahat, seperti sengaja melemah algoritma enkripsi, sengaja membangun kata sandi tersembunyi, membuka jalur perintah-dan-kontrol yang tidak terdokumentasi, Dan sebagainya.
Ngomong-ngomong, kabar baiknya, injeksi program berbasis WPBT ini adalah opsi motherboard Gigabyte yang bisa Anda matikan.
Para peneliti Eclypsium sendiri berkata, “Meskipun pengaturan ini tampaknya dinonaktifkan secara default, pengaturan ini diaktifkan pada sistem yang kami periksa,” tetapi pembaca Keamanan Telanjang (lihat komentar dibawah) menulis, “Saya baru saja membangun sistem dengan papan ITX Gigabyte beberapa minggu yang lalu dan Gigabyte App Center telah [diaktifkan di BIOS] di luar kotak.”
Jadi, jika Anda memiliki motherboard Gigabyte dan Anda khawatir tentang apa yang disebut pintu belakang ini, Anda dapat menghindarinya sepenuhnya: Masuk ke pengaturan BIOS Anda dan pastikan bahwa Unduh & Instal Pusat APP opsi dimatikan.
Anda bahkan dapat menggunakan perangkat lunak keamanan titik akhir atau firewall jaringan perusahaan Anda memblokir akses ke tiga siput URL yang terhubung ke layanan pembaruan tidak aman, yang terdaftar Eclypsium sebagai:
http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4 https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4 https://software-nas SLASH Swhttp/LiveUpdate4
Hanya untuk memperjelas, kami belum mencoba memblokir URL ini, jadi kami tidak tahu apakah Anda akan memblokir pembaruan Gigabyte lain yang diperlukan atau penting agar tidak berfungsi, meskipun kami menduga bahwa memblokir unduhan melalui URL HTTP itu adalah ide yang bagus .
Kami menduga, dari teks LiveUpdate4
di bagian jalur URL, Anda masih dapat mengunduh dan mengelola pembaruan secara manual dan menyebarkannya dengan cara dan waktu Anda sendiri…
… tapi itu hanya tebakan.
Juga, buka mata Anda untuk pembaruan dari Gigabyte.
Bahwa GigabyteUpdateService
program pasti dapat dilakukan dengan peningkatan, dan ketika ditambal, Anda mungkin perlu memperbarui firmware motherboard Anda, bukan hanya sistem Windows Anda, untuk memastikan bahwa Anda tidak masih memiliki versi lama yang terkubur di firmware Anda, menunggu untuk hidup kembali di masa depan.
Dan jika Anda seorang pemrogram yang menulis kode untuk menangani pengunduhan berbasis web di Windows, selalu gunakan HTTPS, dan selalu lakukan setidaknya serangkaian pemeriksaan verifikasi sertifikat dasar di server TLS mana pun yang Anda sambungkan.
Karena kamu bisa.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoAiStream. Kecerdasan Data Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Mencetak Masa Depan bersama Adryenn Ashley. Akses Di Sini.
- Beli dan Jual Saham di Perusahaan PRE-IPO dengan PREIPO®. Akses Di Sini.
- Sumber: https://nakedsecurity.sophos.com/2023/06/02/researchers-claim-windows-backdoor-affects-hundreds-of-gigabyte-motherboards/
- :memiliki
- :adalah
- :bukan
- $NAIK
- 1
- 15%
- a
- kemampuan
- Sanggup
- Tentang Kami
- atas
- Mutlak
- penyalahgunaan
- mengakses
- Menurut
- Akun
- memperoleh
- tindakan
- silam
- algoritma
- Semua
- mengizinkan
- memungkinkan
- sepanjang
- juga
- sama sekali
- selalu
- an
- dan
- Apa pun
- api
- aplikasi
- Aplikasi
- aplikasi
- aplikasi
- ADALAH
- sekitar
- AS
- At
- Serangan
- penulis
- kewenangan
- mobil
- Otomatis
- secara otomatis
- kembali
- pintu belakang
- latar belakang
- background-image
- Buruk
- sangat
- dasar
- BE
- karena
- menjadi
- menjadi
- perilaku
- Bit
- Memblokir
- pemblokiran
- papan
- batas
- Bawah
- Kotak
- pelanggaran
- Bangunan
- dibangun di
- tapi
- Pembelian
- by
- CA
- bernama
- datang
- CAN
- membawa
- Lanjutkan
- kasus
- pusat
- sertifikat
- Otoritas sertifikat
- berubah
- memeriksa
- Cek
- klaim
- jelas
- kode
- berkode
- Pengkodean
- warna
- bagaimana
- Perusahaan
- perusahaan
- komponen
- komponen
- komputer
- komputer
- konfigurasi
- Terhubung
- persetujuan
- mengandung
- konteks
- Timeline
- bisa
- menutupi
- membuat
- kritis
- kriptografi
- penjahat cyber
- Keamanan cyber
- gelap
- Web Gelap
- data
- Pelanggaran Data
- Default
- pastinya
- Ketergantungan
- menyebarkan
- alat
- berbeda
- digital
- digital
- langsung
- cacat
- Display
- do
- dokumentasi
- tidak
- Tidak
- Dont
- Download
- download
- secara dramatis
- mendorong
- driver
- dijuluki
- selama
- e
- Awal
- mudah
- ekosistem
- tertanam
- tekanan
- aktif
- diaktifkan
- terenkripsi
- enkripsi
- akhir
- Titik akhir
- Keamanan endpoint
- berakhir
- cukup
- memastikan
- sepenuhnya
- peralatan
- Setara
- Eter (ETH)
- Bahkan
- persis
- contoh
- menjalankan
- dieksekusi
- mengharapkan
- mata
- fakta
- gadungan
- Fitur
- beberapa
- File
- File
- firewall
- Untuk
- dari
- depan
- fungsi
- masa depan
- umumnya
- mendapatkan
- mendapatkan
- Go
- akan
- baik
- merebut
- menangani
- Perangkat keras
- Memiliki
- membintangi
- tinggi
- di sini
- Lubang
- melayang-layang
- Seterpercayaapakah Olymp Trade? Kesimpulan
- HTML
- http
- HTTPS
- Ratusan
- i
- ide
- if
- gambar
- gambar
- diimplementasikan
- penting
- perbaikan
- in
- memasukkan
- independen
- menyuntikkan
- tidak aman
- integritas
- ke
- Ironisnya
- Ditempatkan
- IT
- NYA
- Diri
- bersama
- hanya
- Menjaga
- kunci-kunci
- Tahu
- dikenal
- kemudian
- Terbaru
- jalankan
- diluncurkan
- BELAJAR
- paling sedikit
- meninggalkan
- meninggalkan
- sah
- Hidup
- 'like'
- keterbatasan
- Daftar
- daftar
- memuat
- tempat
- membuat
- pembuat
- Pembuat
- malware
- mengelola
- berhasil
- manajer
- manual
- Produsen
- Margin
- max-width
- Mungkin..
- cara
- mekanisme
- Memori
- hanya
- Microsoft
- mungkin
- kesalahan
- MITM
- model
- memodifikasi
- lebih
- harus
- Keamanan Telanjang
- nama
- asli
- perlu
- Perlu
- membutuhkan
- bersih
- jaringan
- lalu lintas jaringan
- New
- berita
- tidak
- normal
- terutama
- Jelas
- of
- lepas
- sering
- Tua
- on
- ONE
- secara online
- hanya
- Buka
- pembukaan
- operasi
- sistem operasi
- pilihan
- or
- asli
- Lainnya
- kami
- di luar
- sendiri
- PE
- bagian
- tertentu
- melewati
- path
- paul
- melakukan
- terus menerus
- bernada
- Polos
- Platform
- plato
- Kecerdasan Data Plato
- Data Plato
- Titik
- posisi
- mungkin
- Posts
- berpotensi
- kuat
- lebih suka
- menyajikan
- primer
- mungkin
- Masalah
- proses
- proses
- program
- Programmer
- program
- perlindungan
- memberikan
- menyediakan
- menyediakan
- tujuan
- menempatkan
- ransomware
- Serangan Ransomware
- agak
- Baca
- Pembaca
- benar-benar
- diakui
- mengacu
- reguler
- terkait
- relatif
- menggantikan
- wajib
- peneliti
- Cadangan
- benar
- akar
- bulat
- secara rutin
- Run
- berjalan
- Tersebut
- sama
- mengatakan
- Layar
- aman
- keamanan
- Perangkat lunak keamanan
- melihat
- tampaknya
- mengirimkan
- rasa
- Urutan
- layanan
- Sidang
- set
- pengaturan
- penyiapan
- menandatangani
- tertanda
- hanya
- So
- Perangkat lunak
- padat
- Solusi
- beberapa
- tertentu
- standar
- mulai
- dimulai
- startup
- Tongkat
- Masih
- dicuri
- menyimpan
- ketat
- seperti itu
- Menyarankan
- Mendukung
- SVG
- sistem
- sistem
- mengatakan
- dari
- bahwa
- Grafik
- Masa depan
- sendi
- mereka
- Mereka
- diri
- kemudian
- Sana.
- karena itu
- Ini
- mereka
- berpikir
- ini
- meskipun?
- tiga
- Melalui
- waktu
- TLS
- untuk
- terlalu
- puncak
- lalu lintas
- transisi
- jelas
- mencoba
- MENGHIDUPKAN
- Berbalik
- mengetik
- bawah
- sampai
- luar biasa
- tidak diinginkan
- Memperbarui
- Pembaruan
- URL
- menggunakan
- gunakan case
- Pengguna
- Pengguna
- kegunaan
- menggunakan
- biasanya
- kegunaan
- divalidasi
- vendor
- Verifikasi
- memeriksa
- versi
- sangat
- melalui
- Pengunjung
- volume
- Rentan
- Menunggu
- ingin
- adalah
- Cara..
- we
- jaringan
- berbasis web
- minggu
- BAIK
- terkenal
- adalah
- Apa
- ketika
- apakah
- yang
- SIAPA
- yang
- akan
- Windows
- Pengguna Windows
- dengan
- tanpa
- tanya
- Word
- kata
- kerja
- bekerja
- cemas
- menulis
- penulisan
- kamu
- Anda
- zephyrnet.dll