חוקרים בחברת אבטחת הקושחה ושרשרת האספקה Eclypsium טוען שמצא מה שהם כינו בצורה דרמטית "דלת אחורית" במאות דגמי לוחות אם של יצרנית החומרה הידועה Gigabyte.
למעשה, הכותרת של אקליפסיום מתייחסת אליו לא רק כאל דלת אחורית, אבל הכל באותיות גדולות כמו א דלת אחורית.
החדשות הטובות הן שנראה שזו תכונה לגיטימית שיושמה בצורה גרועה, כך שזו לא דלת אחורית במובן הרגיל והבוגדני של חור אבטחה שהיה הוכנס בכוונה לתוך מערכת מחשב כדי לספק גישה בלתי מורשית בעתיד.
אז, זה לא כמו מבקר בשעות היום שפותח ביודעין חלון לא ידוע מסביב לחלק האחורי של הבניין כדי שיוכלו לחזור בחסות החשיכה ולפרוץ את הג'וינט.
החדשות הרעות הן שנראה שזו תכונה לגיטימית שיושמה בצורה גרועה, והותירה מחשבים מושפעים שעלולים להיות חשופים לשימוש לרעה על ידי פושעי סייבר.
אז, זה קצת כמו חלון לא מוכר מסביב לחלק האחורי של הבניין שנשכח בטעות.
הבעיה, לפי Ecylpsium, היא חלק משירות Gigabyte המכונה מרכז יישומים, אשר "מאפשר לך להפעיל בקלות את כל יישומי GIGABYTE המותקנים במערכת שלך, לבדוק עדכונים קשורים באינטרנט ולהוריד את האפליקציות, מנהלי ההתקן וה-BIOS העדכניים ביותר."
עדכונים אוטומטיים עם נקודות חולשה
רכיב הבאגי במערכת האקולוגית הזו של מרכז APP, אומרים החוקרים, הוא תוכנית Gigabyte הנקראת GigabyteUpdateService.exe
, יישום .NET המותקן ב- %SystemRoot%System32
ספרייה (שורש המערכת שלך הוא בדרך כלל C:Windows
), ופועל באופן אוטומטי בעת ההפעלה כשירות Windows.
שירותים הם המקבילה של Windows לתהליכי רקע או שדים במערכות בסגנון יוניקס: הן בדרך כלל פועלות תחת חשבון משתמש משלהן, לעתים קרובות SYSTEM
חשבון, והם ממשיכים לפעול כל הזמן, גם אם אתה מתנתק והמחשב שלך ממתין ללא יומרות במסך הכניסה.
זֶה GigabyteUpdateService
תוכנית, כך נראה, עושה בדיוק את מה שהשם שלה מרמז: היא פועלת בתור הורדה-ומתקין אוטומטית עבור רכיבי Gigabyte אחרים, הרשומים למעלה כיישומים, מנהלי התקנים ואפילו קושחת ה-BIOS עצמה.
למרבה הצער, על פי Eclypsium, הוא שולף ומריץ תוכנה מאחת משלוש כתובות אתרים עם קווים קשיחים, וקודד באופן כזה:
- כתובת אתר אחת משתמשת ב-HTTP ישן רגיל, ובכך לא מספקת הגנה על שלמות קריפטוגרפית במהלך ההורדה. מניפולטור-באמצע (MitM) שתעבורת הרשת שלך עוברת דרך השרתים שלו יכול לא רק ליירט כל קבצים שהתוכנית מורידה, אלא גם לשנות אותם בצורה בלתי ניתנת לזיהוי לאורך הדרך, למשל על ידי הדבקתם בתוכנה זדונית, או על ידי החלפתם. עם קבצים שונים לגמרי.
- שתי כתובות URL משתמשות ב-HTTPS, אבל תוכנית השירות לעדכון לא מאמתת את אישור ה-HTTPS שהשרת בקצה השני שולח בחזרה. המשמעות היא ש-MitM יכול להציג תעודת אינטרנט שהונפקה על שם השרת שהמוריד מצפה לו, ללא צורך באישור וחתימה של אישור זה על ידי רשות אישורים מוכרת (CA) כגון Let's Encrypt, DigiCert או GlobalSign. מתחזים יכלו פשוט ליצור תעודה מזויפת ו"להתחייב" על כך בעצמם.
- התוכנות שההורדה מאחזרת ומפעילה אינן מאומתות קריפטוגרפית כדי לבדוק שהן באמת הגיעו מגיגהבייט. Windows לא יאפשר לקבצים שהורדת לפעול אם הם לא חתומים דיגיטלית, אבל החתימה הדיגיטלית של כל ארגון תתאים. פושעי סייבר רוכשים באופן שגרתי מפתחות חתימת קוד משלהם על ידי שימוש בחברות חזית מזויפות, או על ידי קניית מפתחות מהרשת האפלה שנגנבו בפרצות מידע, התקפות של תוכנות כופר וכו'.
זה מספיק גרוע בפני עצמו, אבל יש בזה קצת יותר מזה.
הזרקת קבצים ל-Windows
אתה לא יכול פשוט לצאת ולתפוס גרסה חדשה של GigabyteUpdateService
כלי השירות, כי ייתכן שהתוכנה הספציפית הזו הגיעה למחשב שלך בצורה יוצאת דופן.
אתה יכול להתקין מחדש את Windows בכל עת, ותמונת Windows רגילה לא יודעת אם אתה הולך להשתמש בלוח אם של Gigabyte או לא, אז היא לא מגיעה עם GigabyteUpdateService.exe
מותקן מראש.
לכן Gigabyte משתמש בתכונה של Windows המכונה WPBT, או טבלה בינארית של פלטפורמת Windows (זה מוצג כתכונה על ידי מיקרוסופט, אם כי אולי לא תסכים כשתלמד איך זה עובד).
"תכונה" זו מאפשרת ל-Gigabyte להזריק את GigabyteUpdateService
תוכנית לתוך System32
ספרייה, ישירות מה-BIOS שלך, גם אם כונן C: שלך מוצפן עם Bitlocker.
WPBT מספק מנגנון ליצרני קושחה לאחסן קובץ הפעלה של Windows בתמונות ה-BIOS שלהם, לטעון אותו לזיכרון במהלך תהליך האתחול של הקושחה, ואז לומר ל-Windows, "לאחר שפתחת את הנעילה של כונן C: והתחלת לאתחל, קרא בגוש הזיכרון הזה שהשארתי לך, כתוב אותו לדיסק והפעל אותו בשלב מוקדם בתהליך האתחול."
כן, קראת את זה נכון.
על פי התיעוד של מיקרוסופט עצמה, ניתן להחדיר רק תוכנית אחת לרצף האתחול של Windows בדרך זו:
מיקום הקובץ בדיסק הוא
WindowsSystem32Wpbbin.exe
בנפח מערכת ההפעלה.
בנוסף, יש כמה מגבלות קידוד קפדניות על זה Wpbbin.exe
תוכנית, במיוחד כי:
WPBT תומך רק ביישומים מקוריים במצב משתמש המופעלים על ידי מנהל הפעלות של Windows במהלך אתחול מערכת ההפעלה. אפליקציה מקורית מתייחסת לאפליקציה שאין לה תלות ב-API של Windows (Win32).
Ntdll.dll
הוא התלות היחידה ב-DLL של יישום מקורי. לאפליקציה מקורית יש תת-מערכת PE מסוג 1 (IMAGE_SUBSYSTEM_NATIVE
).
מקוד במצב מקורי ועד לאפליקציית NET
בשלב זה, אתה בטח תוהה איך אפליקציה מקומית ברמה נמוכה שמתחילה את החיים Wpbbin.exe
מסתיים כיישום עדכון מלא מבוסס NET שנקרא GigabyteUpdateService.exe
שפועל כשירות מערכת רגיל.
ובכן, באותו אופן שבו הקושחה של Gigabyte (שלא יכולה לפעול בעצמה תחת Windows) מכילה קובץ מוטבע IMAGE_SUBSYSTEM_NATIVE
תוכנית WPBT שהיא "מפילה" לתוך Windows...
... אז גם הקוד של מצב ה-WPBT (שאינו יכול לפעול בעצמו כאפליקציה רגילה של Windows) מכיל יישום NET משובץ שהוא "מפיל" לתוך System32
ספרייה שתושק מאוחר יותר בתהליך האתחול של Windows.
במילים פשוטות, לקושחה שלך יש גרסה ספציפית של GigabyteUpdateService.exe
אפוי בו, אלא אם ועד שתעדכן את הקושחה שלך, תמשיך לקבל את הגרסה המחוברת של שירות עדכון מרכז ה-APP "להציג" ל-Windows עבורך בזמן האתחול.
יש כאן בעיה ברורה של תרנגולת וביצה, במיוחד (ובאופן אירוני) שאם אתה נותן למערכת האקולוגית של APP Center לעדכן את הקושחה שלך באופן אוטומטי, ייתכן מאוד שתסתיים עם העדכון שלך מנוהל על ידי אותו חוט קשיח ממש, שירות עדכונים פגיע אפוי בקושחה שברצונך להחליף.
במילים של מיקרוסופט (ההדגשות שלנו):
המטרה העיקרית של WPBT היא לאפשר לתוכנה קריטית להתמיד גם כאשר מערכת ההפעלה השתנתה או הותקנה מחדש בתצורה "נקיה". מקרה שימוש אחד עבור WPBT הוא לאפשר תוכנה נגד גניבה שנדרשת להתמיד במקרה שמכשיר נגנב, פורמט והותקן מחדש. […] פונקציונליות זו חזקה ומספקת את היכולת לספקי תוכנה עצמאיים (ISVs) ויצרני ציוד מקורי (OEMs) שהפתרונות שלהם ייצמדו למכשיר ללא הגבלת זמן.
מכיוון שתכונה זו מספקת את היכולת להפעיל באופן מתמשך תוכנת מערכת בהקשר של Windows, זה הופך להיות קריטי שפתרונות מבוססי WPBT יהיו בטוחים ככל האפשר ולא יחשפו את משתמשי Windows לתנאים שניתנים לניצול. בפרט, אסור לפתרונות WPBT לכלול תוכנות זדוניות (כלומר, תוכנה זדונית או תוכנה לא רצויה המותקנת ללא הסכמת המשתמש נאותה).
די.
מה לעשות?
האם זו באמת "דלת אחורית"?
אנחנו לא חושבים שכן, כי אנחנו מעדיפים לשמור את המילה הספציפית הזו להתנהגויות אבטחת סייבר מרושעות יותר, כגון היחלשות בכוונה אלגוריתמי הצפנה, תוך בנייה מכוונת סיסמאות נסתרות, נפתח מסלולי פיקוד ובקרה לא מתועדים, וכן הלאה.
בכל מקרה, החדשות הטובות הן שהזרקת תוכנית מבוססת WPBT זו היא אפשרות לוח אם של Gigabyte שתוכלו לכבות.
חוקרי האקליפסיום עצמם אמרו, "למרות שנראה שהגדרה זו מושבתת כברירת מחדל, היא הופעלה במערכת שבדקנו," אלא קורא אבטחה עירום (ראה להגיב למטה) כותב, "רק בניתי מערכת עם לוח Gigabyte ITX לפני כמה שבועות ומרכז האפליקציות של Gigabyte הופעל ב-BIOS מהקופסה."
לכן, אם יש לך לוח אם של Gigabyte ואתה מודאג לגבי מה שנקרא דלת אחורית זו, אתה יכול לעקוף אותו לחלוטין: היכנס להגדרת ה-BIOS שלך וודא שה- מרכז APP הורדה והתקנה האפשרות כבויה.
אתה יכול אפילו להשתמש בתוכנת אבטחת נקודות הקצה שלך או בחומת האש של הרשת הארגונית שלך לחסום גישה לשלושת שבלול ה-URL המחוברים לשירות העדכון הלא מאובטח, אשר אקליפסיום מפרט כ:
http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4 https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4 https://software-nas SLASH Swhttp/LiveUpdate4
רק כדי להיות ברור, לא ניסינו לחסום את כתובות האתרים האלה, אז אנחנו לא יודעים אם תחסום כל עדכוני Gigabyte נחוצים או חשובים אחרים מלפעול, אם כי אנחנו חושדים שחסימת הורדות דרך כתובת ה-HTTP הזו היא רעיון טוב בכל מקרה. .
אנחנו מנחשים, לפי הטקסט LiveUpdate4
בחלק הנתיב של כתובת האתר, שעדיין תוכל להוריד ולנהל עדכונים באופן ידני ולפרוס אותם בדרכך ובזמן שלך...
...אבל זה רק ניחוש.
אז, פקח עיניים לעדכונים מ-Gigabyte.
כי GigabyteUpdateService
התוכנית בהחלט יכולה לעשות שיפור, וכאשר היא מתוכנת, ייתכן שתצטרך לעדכן את קושחת לוח האם שלך, לא רק את מערכת Windows שלך, כדי להבטיח שהגרסה הישנה עדיין לא קבורה בקושחה שלך, ומחכה לחזור לחיים בעתיד.
ואם אתה מתכנת שכותב קוד לטיפול בהורדות מבוססות אינטרנט ב-Windows, השתמש תמיד ב-HTTPS, ותמיד בצע לפחות קבוצה בסיסית של בדיקות אימות אישור בכל שרת TLS שאתה מתחבר אליו.
כי אתה יכול.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoAiStream. Web3 Data Intelligence. הידע מוגבר. גישה כאן.
- הטבעת העתיד עם אדריאן אשלי. גישה כאן.
- קנה ומכירה של מניות בחברות PRE-IPO עם PREIPO®. גישה כאן.
- מקור: https://nakedsecurity.sophos.com/2023/06/02/researchers-claim-windows-backdoor-affects-hundreds-of-gigabyte-motherboards/
- :יש ל
- :הוא
- :לֹא
- $ למעלה
- 1
- 15%
- a
- יכולת
- יכול
- אודות
- מֵעַל
- מוּחלָט
- התעללות
- גישה
- פי
- חֶשְׁבּוֹן
- לרכוש
- מעשים
- לִפנֵי
- אלגוריתמים
- תעשיות
- להתיר
- מאפשר
- לאורך
- גם
- בסך הכל
- תמיד
- an
- ו
- כל
- API
- האפליקציה
- בקשה
- יישומים
- אפליקציות
- ARE
- סביב
- AS
- At
- המתקפות
- מחבר
- סמכות
- המכונית
- אוטומטי
- באופן אוטומטי
- בחזרה
- דלת אחורית
- רקע
- רקע תמונה
- רע
- רע
- בסיסי
- BE
- כי
- הופך להיות
- היה
- התנהגויות
- קצת
- לחסום
- חסימה
- לוּחַ
- גבול
- תַחתִית
- אריזה מקורית
- פרות
- בִּניָן
- נבנה
- אבל
- קנייה
- by
- CA
- נקרא
- הגיע
- CAN
- לשאת
- Carry On
- מקרה
- מרכז
- תעודה
- הגורם המאשר
- השתנה
- לבדוק
- בדיקות
- לטעון
- ברור
- קוד
- מקודד
- סִמוּל
- צֶבַע
- איך
- חברות
- חברה
- רְכִיב
- רכיבים
- המחשב
- מחשבים
- תְצוּרָה
- לְחַבֵּר
- הסכמה
- מכיל
- הקשר
- משותף
- יכול
- לכסות
- לִיצוֹר
- קריטי
- קריפטוגרפי
- עברייני אינטרנט
- אבטחת סייבר
- כהה
- אינטרנט אפל
- נתונים
- הפרת נתונים
- בְּרִירַת מֶחדָל
- בהחלט
- תלות
- לפרוס
- מכשיר
- אחר
- דיגיטלי
- באופן דיגיטלי
- ישירות
- נכה
- לְהַצִיג
- do
- תיעוד
- עושה
- לא
- לא
- להורדה
- הורדות
- באופן דרמטי
- נהיגה
- נהגים
- דיבוב
- בְּמַהֲלָך
- e
- מוקדם
- בקלות
- המערכת האקולוגית
- מוטבע
- דגש
- לאפשר
- מופעל
- מוצפן
- הצף
- סוף
- נקודת קצה
- אבטחה נקודת קצה
- מסתיים
- מספיק
- לְהַבטִיחַ
- לַחֲלוּטִין
- ציוד
- שווה
- Ether (ETH)
- אֲפִילוּ
- בדיוק
- דוגמה
- לבצע
- יצא לפועל
- מצפה
- עיניים
- עובדה
- מְזוּיָף
- מאפיין
- מעטים
- שלח
- קבצים
- חומת אש
- בעד
- החל מ-
- חזית
- פונקציונלי
- עתיד
- בדרך כלל
- לקבל
- מקבל
- Go
- הולך
- טוב
- לתפוס
- לטפל
- חומרה
- יש
- כותרת
- גובה
- כאן
- חור
- לרחף
- איך
- HTML
- http
- HTTPS
- מאות
- i
- רעיון
- if
- תמונה
- תמונות
- יושם
- חשוב
- השבחה
- in
- לכלול
- עצמאי
- לְהַזרִיק
- לא בטוח
- שלמות
- אל תוך
- באופן אירוני
- הפיקו
- IT
- שֶׁלָה
- עצמו
- משותף
- רק
- שמור
- מפתחות
- לדעת
- ידוע
- מאוחר יותר
- האחרון
- לשגר
- הושק
- לִלמוֹד
- הכי פחות
- עזיבה
- עזבו
- לגיטימי
- החיים
- כמו
- מגבלות
- ברשימה
- רשימות
- לִטעוֹן
- מיקום
- לעשות
- יצרן
- קובעים
- תוכנות זדוניות
- לנהל
- הצליח
- מנהל
- באופן ידני
- התעשיינים
- שולים
- max-width
- מאי..
- אומר
- מנגנון
- זכרון
- רק
- מיקרוסופט
- יכול
- טעות
- MITM
- מודלים
- לשנות
- יותר
- צריך
- ביטחון עירום
- שם
- יליד
- הכרחי
- צורך
- צורך
- נטו
- רשת
- תנועת רשת
- חדש
- חדשות
- לא
- נוֹרמָלִי
- בייחוד
- ברור
- of
- כבוי
- לעתים קרובות
- זקן
- on
- ONE
- באינטרנט
- רק
- לפתוח
- פתיחה
- פועל
- מערכת הפעלה
- אפשרות
- or
- מְקוֹרִי
- אחר
- שלנו
- הַחוּצָה
- שֶׁלוֹ
- פ
- חלק
- מסוים
- מעברי
- נתיב
- פול
- לבצע
- בהתמדה
- התנדנד
- מישור
- פלטפורמה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודה
- עמדה
- אפשרי
- הודעות
- פוטנציאל
- חזק
- לְהַעֲדִיף
- להציג
- יְסוֹדִי
- כנראה
- בעיה
- תהליך
- תהליכים
- תָכְנִית
- מְתַכנֵת
- תוכניות
- .
- לספק
- מספק
- מתן
- מטרה
- גם
- ransomware
- התקפות Ransomware
- במקום
- חומר עיוני
- קורא
- בֶּאֱמֶת
- מוכר
- מתייחס
- רגיל
- קָשׁוּר
- קרוב משפחה
- להחליף
- נדרש
- חוקרים
- עתודה
- תקין
- שורש
- עגול
- באופן שגרתי
- הפעלה
- ריצה
- אמר
- אותו
- לומר
- מסך
- לבטח
- אבטחה
- תוכנת אבטחה
- לִרְאוֹת
- נראה
- שולח
- תחושה
- רצף
- שרות
- מושב
- סט
- הצבה
- התקנה
- סִימָן
- חָתוּם
- בפשטות
- So
- תוכנה
- מוצק
- פתרונות
- כמה
- ספציפי
- תֶקֶן
- החל
- התחלות
- סטארט - אפ
- מקל
- עוד
- גָנוּב
- חנות
- קַפְּדָנִי
- כזה
- מציע
- תומך
- SVG
- מערכת
- מערכות
- לספר
- מֵאֲשֶׁר
- זֶה
- אל האני
- העתיד
- המקום
- שֶׁלָהֶם
- אותם
- עצמם
- אז
- שם.
- לכן
- אלה
- הֵם
- לחשוב
- זֶה
- אם כי?
- שְׁלוֹשָׁה
- דרך
- זמן
- TLS
- ל
- גַם
- חלק עליון
- תְנוּעָה
- מַעֲבָר
- שָׁקוּף
- ניסיתי
- תור
- הסתובב
- סוג
- תחת
- עד
- בלתי שגרתי
- לא רצוי
- עדכון
- עדכונים
- כתובת האתר
- להשתמש
- במקרה להשתמש
- משתמש
- משתמשים
- שימושים
- באמצעות
- בְּדֶרֶך כְּלַל
- תועלת
- תוקף
- ספקים
- אימות
- לאמת
- גרסה
- מאוד
- באמצעות
- מבקר
- כֶּרֶך
- פגיע
- הַמתָנָה
- רוצה
- היה
- דֶרֶך..
- we
- אינטרנט
- המבוסס על האינטרנט
- שבועות
- טוֹב
- מוכר
- היו
- מה
- מתי
- אם
- אשר
- מי
- של מי
- יצטרך
- חלונות
- משתמשי Windows
- עם
- לְלֹא
- תוהה
- Word
- מילים
- עובד
- עובד
- מודאג
- לכתוב
- כתיבה
- אתה
- זפירנט