펌웨어 및 공급망 보안 회사 Eclipsium의 연구원 발견했다고 주장하다 잘 알려진 하드웨어 제조업체인 Gigabyte의 수백 가지 마더보드 모델에서 극적으로 "백도어"라고 명명한 것입니다.
사실, Eclypsium의 헤드라인은 단순히 뒷문, 하지만 모두 대문자로 뒷문.
좋은 소식은 이것이 제대로 구현되지 않은 합법적인 기능인 것 같기 때문에 일반적으로 백도어가 아니라는 것입니다. 의도적으로 삽입 향후 무단 액세스를 제공하기 위해 컴퓨터 시스템에
따라서 주간 방문객이 건물 뒤편에 있는 잘 알려지지 않은 창문의 걸쇠를 고의로 풀고 어둠 속에서 돌아와 이음매를 부술 수 있는 것과는 다릅니다.
나쁜 소식은 이것이 제대로 구현되지 않은 합법적인 기능으로 보이며 영향을 받는 컴퓨터가 사이버 범죄자의 남용에 잠재적으로 취약한 상태로 남아 있다는 것입니다.
그래서 그것은 건물 뒤편에 있는 잘 알려지지 않은 창문이 실수로 빗장을 풀고 잊어버린 것과 같은 것입니다.
Ecylpsium에 따르면 문제는 다음과 같이 알려진 Gigabyte 서비스의 일부입니다. 앱 센터, 그 "시스템에 설치된 모든 GIGABYTE 앱을 쉽게 실행하고 관련 업데이트를 온라인으로 확인하고 최신 앱, 드라이버 및 BIOS를 다운로드할 수 있습니다."
약점이 있는 자동 업데이트
이 APP Center 생태계의 버그가 있는 구성 요소는 연구원에 따르면 Gigabyte 프로그램이라고 합니다. GigabyteUpdateService.exe
, 에 설치된 .NET 애플리케이션 %SystemRoot%System32
디렉토리(시스템 루트는 일반적으로 C:Windows
) 시작 시 Windows 서비스로 자동 실행됩니다.
서비스 백그라운드 프로세스와 동등한 Windows이거나 데몬 유닉스 스타일 시스템에서: 그들은 일반적으로 자신의 사용자 계정으로 실행됩니다. SYSTEM
로그아웃하고 컴퓨터가 아무렇게나 로그온 화면에서 기다리고 있더라도 항상 계속 실행됩니다.
이 GigabyteUpdateService
이 프로그램은 이름에서 알 수 있듯이 위에 나열된 앱, 드라이버 및 심지어 BIOS 펌웨어 자체로 나열된 다른 Gigabyte 구성 요소에 대한 자동화된 다운로더 및 설치 프로그램 역할을 하는 것 같습니다.
불행하게도 Eclypsium에 따르면 세 개의 유선 URL 중 하나에서 소프트웨어를 가져오고 실행하며 다음과 같은 방식으로 코딩되었습니다.
- 하나의 URL은 일반 이전 HTTP를 사용하므로 다운로드 중에 암호화 무결성 보호를 제공하지 않습니다. 네트워크 트래픽이 통과하는 서버를 통과하는 중간자 조작자(MitM)는 프로그램이 다운로드하는 모든 파일을 가로챌 수 있을 뿐만 아니라 예를 들어 맬웨어로 감염시키거나 파일을 교체하는 등 도중에 파일을 감지할 수 없게 수정할 수 있습니다. 완전히 다른 파일로.
- 두 개의 URL이 HTTPS를 사용하지만 업데이트 유틸리티는 다른 쪽 끝의 서버가 다시 보내는 HTTPS 인증서를 확인하지 않습니다. 이는 MitM이 Let's Encrypt, DigiCert 또는 GlobalSign과 같은 공인 인증 기관(CA)에서 해당 인증서의 유효성을 검사하고 서명할 필요 없이 다운로더가 예상하는 서버 이름으로 발급된 웹 인증서를 제시할 수 있음을 의미합니다. 사기꾼은 단순히 가짜 인증서를 만들고 스스로 "보증"할 수 있습니다.
- 다운로더가 가져오고 실행하는 프로그램은 실제로 Gigabyte에서 온 것인지 확인하기 위해 암호로 검증되지 않습니다. Windows는 다운로드한 파일이 디지털 서명되지 않은 경우 실행을 허용하지 않지만 모든 조직의 디지털 서명은 가능합니다. 사이버 범죄자는 가짜 프론트 회사를 사용하거나 데이터 유출, 랜섬웨어 공격 등으로 도난당한 다크 웹에서 키를 구입하여 일상적으로 자체 코드 서명 키를 얻습니다.
그것만으로도 충분히 나쁘지만 그것보다 더 많은 것이 있습니다.
Windows에 파일 삽입
그냥 나가서 새로운 버전을 얻을 수는 없습니다. GigabyteUpdateService
특정 프로그램이 비정상적인 방식으로 컴퓨터에 도착했을 수 있기 때문입니다.
언제든지 Windows를 다시 설치할 수 있으며 표준 Windows 이미지는 Gigabyte 마더보드를 사용할지 여부를 알지 못하므로 함께 제공되지 않습니다. GigabyteUpdateService.exe
사전 설치.
따라서 Gigabyte는 다음과 같은 Windows 기능을 사용합니다. WPBT및 Windows 플랫폼 바이너리 테이블 (작동 방식을 알게 되면 동의하지 않을 수도 있지만 Microsoft에서 기능으로 발표했습니다.)
이 "기능"을 통해 Gigabyte는 GigabyteUpdateService
에 프로그램 System32
C: 드라이브가 Bitlocker로 암호화된 경우에도 BIOS에서 직접 디렉터리를 제거할 수 있습니다.
WPBT는 펌웨어 제조업체가 BIOS 이미지에 Windows 실행 파일을 저장하고 펌웨어 사전 부팅 프로세스 중에 메모리에 로드한 다음 Windows에 알릴 수 있는 메커니즘을 제공합니다. "C: 드라이브의 잠금을 해제하고 부팅을 시작하면 내가 당신을 위해 남겨둔 이 메모리 블록을 읽고 디스크에 기록한 다음 시작 프로세스 초기에 실행하십시오."
예, 올바르게 읽었습니다.
Microsoft 자체 문서에 따르면 다음과 같은 방식으로 Windows 시작 시퀀스에 하나의 프로그램만 삽입할 수 있습니다.
디스크상의 파일 위치는
WindowsSystem32Wpbbin.exe
운영 체제 볼륨에서.
또한 여기에는 몇 가지 엄격한 코딩 제한이 있습니다. Wpbbin.exe
프로그램, 특히:
WPBT는 운영 체제 초기화 중에 Windows 세션 관리자가 실행하는 기본 사용자 모드 응용 프로그램만 지원합니다. 네이티브 애플리케이션은 Windows API(Win32)에 종속되지 않는 애플리케이션을 말합니다.
Ntdll.dll
네이티브 애플리케이션의 유일한 DLL 종속성입니다. 네이티브 애플리케이션의 PE 하위 시스템 유형은 1(IMAGE_SUBSYSTEM_NATIVE
).
기본 모드 코드에서 .NET 앱으로
이 시점에서 인생을 시작하는 하위 수준의 기본 앱이 어떻게 작동하는지 궁금할 것입니다. Wpbbin.exe
라는 본격적인 .NET 기반 업데이트 응용 프로그램으로 끝납니다. GigabyteUpdateService.exe
일반 시스템 서비스로 실행됩니다.
음, Gigabyte 펌웨어(Windows에서 자체적으로 실행할 수 없음)에 임베디드 IMAGE_SUBSYSTEM_NATIVE
Windows에 "드롭"하는 WPBT 프로그램…
…또한 WPBT 기본 모드 코드(자체는 일반 Windows 앱으로 실행할 수 없음)에는 내장된 .NET 애플리케이션이 포함되어 있습니다. System32
나중에 Windows 부팅 프로세스에서 시작할 디렉토리.
간단히 말해서, 펌웨어에는 특정 버전의 GigabyteUpdateService.exe
펌웨어를 업데이트하지 않는 한, 부팅할 때 Windows에 "도입된" APP Center 업데이터 서비스의 유선 버전을 계속 사용할 수 있습니다.
여기에는 명백한 닭이 먼저냐 달걀이 먼저냐의 문제가 있습니다. 특히(아이러니하게도) APP 센터 에코시스템이 자동으로 펌웨어를 업데이트하도록 허용하면 동일한 하드 와이어드에서 업데이트를 관리하게 될 수 있습니다. 교체하려는 펌웨어에 구운 취약한 업데이트 서비스.
Microsoft의 표현(강조):
WPBT의 주요 목적은 운영 체제가 변경되었거나 "깨끗한" 구성으로 재설치된 경우에도 중요한 소프트웨어가 지속되도록 하는 것입니다. WPBT의 한 가지 사용 사례는 장치가 도난, 포맷 및 재설치된 경우에도 지속되는 데 필요한 도난 방지 소프트웨어를 활성화하는 것입니다. [...] 이 기능은 강력하며 ISV(독립 소프트웨어 공급업체) 및 OEM(Original Equipment Manufacturer)이 솔루션을 장치에 무기한 고정할 수 있는 기능을 제공합니다.
이 기능은 Windows 컨텍스트에서 시스템 소프트웨어를 지속적으로 실행할 수 있는 기능을 제공하므로 WPBT 기반 솔루션이 가능한 한 안전하고 Windows 사용자를 악용 가능한 조건에 노출시키지 않는 것이 중요해졌습니다.. 특히 WPBT 솔루션에는 맬웨어(예: 적절한 사용자 동의 없이 설치된 악성 소프트웨어 또는 원치 않는 소프트웨어)가 포함되어서는 안 됩니다.
아주.
무엇을해야 하는가?
이것은 정말 "백도어"입니까?
우리는 그렇게 생각하지 않습니다. 의도적으로 약화 의도적으로 내장된 암호화 알고리즘 숨겨진 암호, 개방 문서화되지 않은 명령 및 제어 경로, 등등.
어쨌든 좋은 소식은 이 WPBT 기반 프로그램 주입이 기가바이트 메인보드 옵션으로 해제할 수 있다는 것입니다.
Eclypsium 연구원들은 스스로 말했습니다. "이 설정은 기본적으로 비활성화되어 있는 것처럼 보이지만 조사한 시스템에서는 활성화되어 있었습니다." 그러나 Naked Security 리더(참조 아래의 의견) 쓰고, "저는 몇 주 전에 Gigabyte ITX 보드로 시스템을 구축했고 Gigabyte App Center는 [BIOS에서 켜짐] 상자에서 꺼냈습니다."
따라서 Gigabyte 마더보드가 있고 이 백도어가 걱정된다면 완전히 피할 수 있습니다. BIOS 설정으로 이동하여 다음을 확인하십시오. APP 센터 다운로드 및 설치 옵션이 꺼져 있습니다.
엔드포인트 보안 소프트웨어나 회사 네트워크 방화벽을 사용하여 안전하지 않은 업데이트 서비스에 연결된 세 개의 URL 슬러그에 대한 액세스를 차단합니다., Eclypsium은 다음과 같이 나열합니다.
http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4 https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4 https://software-nas SLASH Swhttp/LiveUpdate4
확실히 하자면, 우리는 이러한 URL을 차단하려고 시도하지 않았기 때문에 필요하거나 중요한 다른 Gigabyte 업데이트가 작동하지 않도록 차단할지 여부는 알 수 없지만 어쨌든 해당 HTTP URL을 통한 다운로드를 차단하는 것이 좋은 생각이라고 생각합니다. .
우리는 텍스트에서 추측하고 있습니다. LiveUpdate4
URL의 경로 부분에서 업데이트를 수동으로 다운로드 및 관리하고 원하는 방식으로 원하는 시간에 배포할 수 있습니다...
…하지만 추측일 뿐입니다.
또한, Gigabyte의 업데이트를 눈여겨보십시오.
그 GigabyteUpdateService
프로그램이 확실히 개선될 수 있으며, 패치가 적용되면 Windows 시스템뿐 아니라 마더보드 펌웨어를 업데이트하여 펌웨어에 이전 버전이 묻혀 다시 살아날 때까지 기다리지 않도록 해야 할 수도 있습니다. 미래에.
그리고 Windows에서 웹 기반 다운로드를 처리하는 코드를 작성하는 프로그래머라면 항상 HTTPS를 사용하고 연결하는 모든 TLS 서버에서 최소한 기본 인증서 확인 세트를 항상 수행하십시오..
넌 할 수 있으니까.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoAiStream. Web3 데이터 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 미래 만들기 w Adryenn Ashley. 여기에서 액세스하십시오.
- PREIPO®로 PRE-IPO 회사의 주식을 사고 팔 수 있습니다. 여기에서 액세스하십시오.
- 출처: https://nakedsecurity.sophos.com/2023/06/02/researchers-claim-windows-backdoor-affects-hundreds-of-gigabyte-motherboards/
- :있다
- :이다
- :아니
- $UP
- 1
- 15%
- a
- 능력
- 할 수 있는
- 소개
- 위의
- 절대
- 남용
- ACCESS
- 에 따르면
- 계정
- 얻다
- 행위
- ...전에
- 알고리즘
- All
- 수
- 수
- 따라
- 또한
- 전부
- 항상
- an
- 과
- 어떤
- API를
- 앱
- 어플리케이션
- 어플리케이션
- 앱
- 있군요
- 약
- AS
- At
- 공격
- 저자
- 권위
- 자동
- 자동화
- 자동적으로
- 뒤로
- 뒷문
- 배경
- 배경 이미지
- 나쁜
- 심하게
- 기본
- BE
- 때문에
- 된다
- 된
- 행동
- 비트
- 블록
- 블로킹
- 판
- 경계
- 바닥
- 보물상자
- 위반
- 건물
- 내장
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- 구매
- by
- CA
- 라는
- 온
- CAN
- 나르다
- 캐리 온
- 케이스
- 센터
- 증명서
- 인증 기관
- 변경
- 검사
- 확인하는 것이 좋다.
- 청구
- 선명한
- 암호
- 코드화 된
- 코딩
- 색
- 왔다
- 기업
- 회사
- 구성 요소
- 구성 요소들
- 컴퓨터
- 컴퓨터
- 구성
- 연결하기
- 동의
- 이 포함되어 있습니다
- 문맥
- Corporate
- 수
- 엄호
- 만들
- 임계
- cryptographic
- 사이버 범죄자
- 사이버 보안
- 어두운
- 어두운 웹
- 데이터
- 데이터 유출
- 태만
- 명확히
- 의존
- 배포
- 장치
- 다른
- 디지털
- 디지털
- 직접
- 사용
- 디스플레이
- do
- 선적 서류 비치
- 하지
- 하지 않습니다
- 말라
- 다운로드
- 다운로드
- 극적으로
- 드라이브
- 드라이버
- 더빙 된
- ...동안
- e
- 초기의
- 용이하게
- 생태계
- 임베디드
- 강조
- 가능
- 사용 가능
- 암호화
- 암호화
- end
- 종점
- 엔드 포인트 보안
- 종료
- 충분히
- 확인
- 전적으로
- 장비
- 동등한
- 에테르 (ETH)
- 조차
- 정확하게
- 예
- 실행
- 처형 된
- ~을 기대하는
- 아이메이크업
- 사실
- 모조품
- 특색
- 를
- 입양 부모로서의 귀하의 적합성을 결정하기 위해 미국 이민국에
- 파일
- 방화벽
- 럭셔리
- 에
- 앞
- 기능
- 미래
- 일반적으로
- 얻을
- 점점
- Go
- 가는
- 좋은
- 잡아요
- 핸들
- 하드웨어
- 있다
- 표제
- 신장
- 여기에서 지금 확인해 보세요.
- 구멍
- 가져가
- 방법
- HTML
- HTTP
- HTTPS
- 수백
- i
- 생각
- if
- 영상
- 형상
- 구현
- 중대한
- 개량
- in
- 포함
- 독립
- 주입
- 불안 정한
- 보전
- 으로
- 아이러니하게
- 발행
- IT
- 그
- 그 자체
- 관절
- 다만
- 유지
- 키
- 알아
- 알려진
- 후에
- 최근
- 시작
- 시작
- 배우다
- 가장 작은
- 출발
- 왼쪽 (left)
- 합법적 인
- 생활
- 처럼
- 한계
- 상장 된
- 기울기
- 하중
- 위치
- 확인
- 메이커
- 제조사
- 악성 코드
- 관리
- 관리
- 매니저
- 수동으로
- 제조 업체
- 한계
- 최대 폭
- XNUMX월..
- 방법
- 기구
- 메모리
- 단지
- Microsoft
- 수도
- 잘못
- MITM
- 모델
- 수정
- 배우기
- 절대로 필요한 것
- 노출 된 보안
- name
- 출신
- 필요한
- 필요
- 필요
- 그물
- 네트워크
- 네트워크 트래픽
- 신제품
- news
- 아니
- 표준
- 특히
- 분명한
- of
- 오프
- 자주
- 낡은
- on
- ONE
- 온라인
- 만
- 열 수
- 열기
- 운영
- 운영 체제
- 선택권
- or
- 실물
- 기타
- 우리의
- 아웃
- 자신의
- 체육
- 부품
- 특별한
- 패스
- 통로
- 폴
- 수행
- 지속적으로
- 투구
- 평원
- 플랫폼
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 포인트 적립
- 위치
- 가능한
- 게시물
- 잠재적으로
- 강한
- 취하다
- 제시
- 일차
- 아마
- 문제
- 방법
- 프로세스
- 프로그램
- 프로그램 제작자
- 프로그램
- 보호
- 제공
- 제공
- 제공
- 목적
- 놓다
- 랜섬
- 랜섬웨어 공격
- 차라리
- 읽기
- 리더
- 정말
- 인정받은
- 의미
- 정규병
- 관련
- 상대적인
- 교체
- 필수
- 연구원
- 리저브
- 연락해주세요
- 뿌리
- 반올림
- 일상적으로
- 달리기
- 달리는
- 말했다
- 같은
- 라고
- 화면
- 안전해야합니다.
- 보안
- 보안 소프트웨어
- 참조
- 것
- 전송
- 감각
- 순서
- 서비스
- 세션
- 세트
- 설정
- 설치
- 기호
- 서명
- 간단히
- So
- 소프트웨어
- 고체
- 솔루션
- 일부
- 구체적인
- 표준
- 시작
- 시작
- 시작
- 스틱
- 아직도
- 훔친
- 저장
- 엄격한
- 이러한
- 제안
- 지원
- SVG
- 체계
- 시스템은
- 이야기
- 보다
- 그
- XNUMXD덴탈의
- 미래
- 관절
- 그들의
- 그들
- 그들 자신
- 그때
- 그곳에.
- 따라서
- Bowman의
- 그들
- 생각
- 이
- 그래도?
- 세
- 을 통하여
- 시간
- TLS
- 에
- 너무
- 상단
- 교통
- 전이
- 투명한
- 시도
- 회전
- 돌린
- 유형
- 아래에
- 까지
- 별난
- 불필요한
- 업데이트
- 업데이트
- URL
- 사용
- 유스 케이스
- 사용자
- 사용자
- 사용
- 사용
- 보통
- 유틸리티
- 검증 된
- 공급 업체
- 확인
- 확인
- 버전
- 대단히
- 를 통해
- 방문객
- 음량
- 취약
- 기다리는
- 필요
- 였다
- 방법..
- we
- 웹
- 웹 기반
- 주
- 잘
- 잘 알려진
- 했다
- 뭐
- 언제
- 여부
- 어느
- 누구
- 누구의
- 의지
- 창
- Windows 사용자
- 과
- 없이
- 궁금해하는
- 워드
- 말
- 일하는
- 일
- 걱정
- 쓰다
- 쓰기
- 당신
- 너의
- 제퍼 넷