Forskere ved fastvare- og forsyningskjedesikkerhetsselskapet Eclypsium hevder å ha funnet det de ganske dramatisk har kalt en "bakdør" i hundrevis av hovedkortmodeller fra den kjente maskinvareprodusenten Gigabyte.
Faktisk refererer Eclypsiums overskrift til det ikke bare som en backdoor, men alt med store bokstaver som en BAKDØR.
Den gode nyheten er at dette ser ut til å være en legitim funksjon som har blitt dårlig implementert, så det er ikke en bakdør i den vanlige, forræderske følelsen av et sikkerhetshull som har vært bevisst satt inn inn i et datasystem for å gi uautorisert tilgang i fremtiden.
Så, det er ikke som en besøkende på dagtid som bevisst åpner et lite kjent vindu rundt baksiden av bygningen, slik at de kan komme tilbake i ly av mørket og bryte sammen.
Den dårlige nyheten er at dette ser ut til å være en legitim funksjon som har blitt dårlig implementert, noe som gjør berørte datamaskiner potensielt sårbare for misbruk av nettkriminelle.
Så, det er litt som et lite kjent vindu rundt baksiden av bygningen som ved en feiltakelse har blitt stående ulåst.
Problemet, ifølge Ecylpsium, er en del av en Gigabyte-tjeneste kjent som APP-senter, Som "lar deg enkelt starte alle GIGABYTE-apper som er installert på systemet ditt, sjekke relaterte oppdateringer på nettet og laste ned de nyeste appene, driverne og BIOS."
Automatiske oppdateringer med svakheter
Buggy-komponenten i dette APP Center-økosystemet, sier forskerne, er et Gigabyte-program kalt GigabyteUpdateService.exe
, et .NET-program som er installert i %SystemRoot%System32
katalog (systemroten din er vanligvis C:Windows
), og kjører automatisk ved oppstart som en Windows-tjeneste.
Tjenester er Windows-ekvivalenten til bakgrunnsprosesser eller daemons på systemer i Unix-stil: de kjører vanligvis under en egen brukerkonto, ofte SYSTEM
konto, og de fortsetter å kjøre hele tiden, selv om du logger av og datamaskinen venter upretensiøst på påloggingsskjermen.
Dette GigabyteUpdateService
programmet, ser det ut til, gjør akkurat det navnet antyder: det fungerer som en automatisert nedlaster-og-installer for andre Gigabyte-komponenter, oppført ovenfor som apper, drivere og til og med selve BIOS-fastvaren.
Dessverre, ifølge Eclypsium, henter og kjører den programvare fra en av tre fastkoblede URL-er, og ble kodet på en slik måte at:
- Én URL bruker vanlig gammel HTTP, og gir dermed ingen kryptografisk integritetsbeskyttelse under nedlastingen. En manipulator-i-midten (MitM) hvis servere nettverkstrafikken din passerer, kan ikke bare fange opp filer som programmet laster ned, men også uoppdagelig modifisere dem underveis, for eksempel ved å infisere dem med skadelig programvare, eller ved å erstatte dem med forskjellige filer helt.
- To URL-er bruker HTTPS, men oppdateringsverktøyet bekrefter ikke HTTPS-sertifikatet som serveren i den andre enden sender tilbake. Dette betyr at en MitM kan presentere et nettsertifikat utstedt i navnet til serveren som nedlasteren forventer, uten å måtte få det sertifikatet validert og signert av en anerkjent sertifiseringsinstans (CA) som Let's Encrypt, DigiCert eller GlobalSign. Bedragere kan ganske enkelt lage et falskt sertifikat og "godkjenne" for det selv.
- Programmene som nedlasteren henter og kjører blir ikke validert kryptografisk for å kontrollere at de virkelig kom fra Gigabyte. Windows lar ikke de nedlastede filene kjøre hvis de ikke er digitalt signert, men enhver organisasjons digitale signatur vil gjøre det. Nettkriminelle skaffer seg rutinemessig sine egne kodesigneringsnøkler ved å bruke falske frontfirmaer, eller ved å kjøpe inn nøkler fra det mørke nettet som ble stjålet i datainnbrudd, løsepenge-angrep og så videre.
Det er ille nok i seg selv, men det er litt mer enn det.
Injiserer filer i Windows
Du kan ikke bare gå ut og hente en ny versjon av GigabyteUpdateService
verktøyet, fordi det bestemte programmet kan ha kommet til datamaskinen din på en uvanlig måte.
Du kan installere Windows på nytt når som helst, og et standard Windows-bilde vet ikke om du skal bruke et Gigabyte hovedkort eller ikke, så det følger ikke med GigabyteUpdateService.exe
forhåndsinstallert.
Gigabyte bruker derfor en Windows-funksjon kjent som WPBTeller Windows-plattform binær tabell (det er presentert som en funksjon av Microsoft, selv om du kanskje ikke er enig når du lærer hvordan det fungerer).
Denne "funksjonen" lar Gigabyte injisere GigabyteUpdateService
programmet inn i System32
katalogen, direkte ut av BIOS, selv om C:-stasjonen er kryptert med Bitlocker.
WPBT gir en mekanisme for fastvareprodusenter til å lagre en kjørbar Windows-fil i BIOS-bildene sine, laste den inn i minnet under fastvaren før oppstartsprosessen, og deretter fortelle Windows: "Når du har låst opp C:-stasjonen og startet oppstart, les i denne minneblokken som jeg har latt ligge for deg, skriv den ut på disk og kjør den tidlig i oppstartsprosessen."
Ja, du har lest det riktig.
I følge Microsofts egen dokumentasjon kan bare ett program injiseres i Windows-oppstartssekvensen på denne måten:
Plasseringen av filen på disken er
WindowsSystem32Wpbbin.exe
på operativsystemvolumet.
I tillegg er det noen strenge kodebegrensninger på det Wpbbin.exe
program, spesielt at:
WPBT støtter kun innfødte brukermodusapplikasjoner som kjøres av Windows Session Manager under initialisering av operativsystemet. En innebygd applikasjon refererer til en applikasjon som ikke er avhengig av Windows API (Win32).
Ntdll.dll
er den eneste DLL-avhengigheten til en innebygd applikasjon. En innebygd applikasjon har en PE-delsystemtype på 1 (IMAGE_SUBSYSTEM_NATIVE
).
Fra native-modus-kode til .NET-app
På dette tidspunktet lurer du sannsynligvis på hvordan en innfødt app på lavt nivå som starter livet som Wpbbin.exe
ender opp som en fullverdig .NET-basert oppdateringsapplikasjon kalt GigabyteUpdateService.exe
som kjører som en vanlig systemtjeneste.
Vel, på samme måte som Gigabyte-fastvaren (som ikke selv kan kjøre under Windows) inneholder en innebygd IMAGE_SUBSYSTEM_NATIVE
WPBT-program som det "slipper" inn i Windows ...
…så også inneholder WPBT native-modus-koden (som ikke selv kan kjøre som en vanlig Windows-app) en innebygd .NET-applikasjon som den "slipper" inn i System32
katalogen som skal startes senere i Windows oppstartsprosessen.
Enkelt sagt har fastvaren din en spesifikk versjon av GigabyteUpdateService.exe
bakt inn i den, og med mindre og til du oppdaterer fastvaren din, vil du fortsette å få den fastkablede versjonen av APP Center-oppdateringstjenesten "introdusert" i Windows for deg ved oppstart.
Det er et åpenbart kylling-og-egg-problem her, spesielt (og ironisk nok) at hvis du lar APP Center-økosystemet oppdatere fastvaren for deg automatisk, kan du meget godt ende opp med at oppdateringen din blir administrert av den samme fastkablede, innebygd i fastvaren, sårbar oppdateringstjeneste som du ønsker å erstatte.
Med Microsofts ord (vår utheving):
Hovedformålet med WPBT er å la kritisk programvare vedvare selv når operativsystemet er endret eller blitt reinstallert i en "ren" konfigurasjon. En brukssituasjon for WPBT er å aktivere anti-tyveri programvare som kreves for å vedvare i tilfelle en enhet har blitt stjålet, formatert og installert på nytt. […] Denne funksjonaliteten er kraftig og gir mulighet for uavhengige programvareleverandører (ISV-er) og produsenter av originalutstyr (OEM-er) til å få sine løsninger til å holde seg til enheten på ubestemt tid.
Fordi denne funksjonen gir muligheten til vedvarende å kjøre systemprogramvare i sammenheng med Windows, det blir avgjørende at WPBT-baserte løsninger er så sikre som mulig og ikke utsetter Windows-brukere for utnyttbare forhold. Spesielt må WPBT-løsninger ikke inkludere skadelig programvare (dvs. skadelig programvare eller uønsket programvare installert uten tilstrekkelig brukersamtykke).
Ganske.
Hva gjør jeg?
Er dette virkelig en "bakdør"?
Vi tror ikke det, fordi vi foretrekker å reservere det spesielle ordet for mer ondsinnet cybersikkerhetsatferd, som f.eks. bevisst svekkelse krypteringsalgoritmer, bevisst innebygget skjulte passord, Åpner opp udokumenterte kommando-og-kontrollveier, Og så videre.
Uansett, den gode nyheten er at denne WPBT-baserte programinjeksjonen er et Gigabyte hovedkortalternativ som du kan slå av.
Eclypsium-forskerne sa selv, "Selv om denne innstillingen ser ut til å være deaktivert som standard, ble den aktivert på systemet vi undersøkte," men en Naked Security-leser (se kommentar nedenfor) skriver, "Jeg bygde nettopp et system med et Gigabyte ITX-kort for noen uker siden, og Gigabyte App Center ble [slått på i BIOS] ut av esken."
Så hvis du har et Gigabyte hovedkort og du er bekymret for denne såkalte bakdøren, kan du omgå det helt: Gå inn i BIOS-oppsettet og kontroller at APP Center Last ned og installer alternativet er slått av.
Du kan til og med bruke endepunktsikkerhetsprogramvaren eller bedriftens nettverksbrannmur til blokkere tilgangen til de tre URL-sluggene som er koblet til den usikre oppdateringstjenesten, som Eclypsium viser som:
http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4 https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4 https://software-nas SLASH Swhttp/LiveUpdate4
Bare for å være tydelig, vi har ikke prøvd å blokkere disse nettadressene, så vi vet ikke om du vil blokkere andre nødvendige eller viktige Gigabyte-oppdateringer fra å fungere, selv om vi mistenker at blokkering av nedlastinger via den HTTP-URLen er en god idé uansett .
Vi gjetter, fra teksten LiveUpdate4
i banedelen av URL-en, at du fortsatt vil kunne laste ned og administrere oppdateringer manuelt og distribuere dem på din egen måte og til din egen tid...
…men det er bare en gjetning.
Også hold øynene åpne for oppdateringer fra Gigabyte.
Det GigabyteUpdateService
programmet kan definitivt gjøre med forbedringer, og når det er lappet, kan det hende du må oppdatere hovedkortets fastvare, ikke bare Windows-systemet, for å sikre at du ikke fortsatt har den gamle versjonen begravd i fastvaren din og venter på å komme tilbake til livet i fremtiden.
Og hvis du er en programmerer som skriver kode for å håndtere nettbaserte nedlastinger på Windows, bruk alltid HTTPS, og utfør alltid minst et grunnleggende sett med sertifikatverifiseringskontroller på enhver TLS-server du kobler til.
Fordi du kan.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoAiStream. Web3 Data Intelligence. Kunnskap forsterket. Tilgang her.
- Minting the Future med Adryenn Ashley. Tilgang her.
- Kjøp og selg aksjer i PRE-IPO-selskaper med PREIPO®. Tilgang her.
- kilde: https://nakedsecurity.sophos.com/2023/06/02/researchers-claim-windows-backdoor-affects-hundreds-of-gigabyte-motherboards/
- : har
- :er
- :ikke
- $OPP
- 1
- 15%
- a
- evne
- I stand
- Om oss
- ovenfor
- Absolute
- misbruk
- adgang
- Ifølge
- Logg inn
- erverve
- handlinger
- siden
- algoritmer
- Alle
- tillate
- tillater
- langs
- også
- helt
- alltid
- an
- og
- noen
- api
- app
- Søknad
- søknader
- apps
- ER
- rundt
- AS
- At
- Angrep
- forfatter
- myndighet
- auto
- Automatisert
- automatisk
- tilbake
- backdoor
- bakgrunn
- background-image
- dårlig
- dårlig
- grunnleggende
- BE
- fordi
- blir
- vært
- atferd
- Bit
- Blokker
- blokkering
- borde
- grensen
- Bunn
- Eske
- brudd
- Bygning
- bygget
- men
- Kjøpe
- by
- CA
- som heter
- kom
- CAN
- bære
- Fortsett
- saken
- sentrum
- sertifikat
- Sertifiseringsinstans
- endret
- sjekk
- Sjekker
- hevder
- fjerne
- kode
- kodet
- Koding
- farge
- Kom
- Selskaper
- Selskapet
- komponent
- komponenter
- datamaskin
- datamaskiner
- Konfigurasjon
- Koble
- samtykke
- inneholder
- kontekst
- Bedriftens
- kunne
- dekke
- skape
- kritisk
- kryptografisk
- nettkriminelle
- Cybersecurity
- mørk
- mørk Web
- dato
- Databrudd
- Misligholde
- helt sikkert
- Avhengighet
- utplassere
- enhet
- forskjellig
- digitalt
- digitalt
- direkte
- deaktivert
- Vise
- do
- dokumentasjon
- gjør
- ikke
- ikke
- nedlasting
- nedlastinger
- dramatisk
- stasjonen
- drivere
- dubbet
- under
- e
- Tidlig
- lett
- økosystem
- innebygd
- vekt
- muliggjøre
- aktivert
- kryptert
- kryptering
- slutt
- Endpoint
- Endpoint sikkerhet
- slutter
- nok
- sikre
- fullstendig
- utstyr
- Tilsvarende
- Eter (ETH)
- Selv
- nøyaktig
- eksempel
- henrette
- henrettet
- forventer
- øyne
- Faktisk
- forfalskning
- Trekk
- Noen få
- filet
- Filer
- brannmur
- Til
- fra
- foran
- funksjonalitet
- framtid
- generelt
- få
- få
- Go
- skal
- god
- grip
- håndtere
- maskinvare
- Ha
- overskrift
- høyde
- her.
- Hole
- hover
- Hvordan
- HTML
- http
- HTTPS
- Hundrevis
- i
- Tanken
- if
- bilde
- bilder
- implementert
- viktig
- forbedring
- in
- inkludere
- uavhengig
- injisere
- usikker
- integritet
- inn
- ironisk
- Utstedt
- IT
- DET ER
- selv
- ledd
- bare
- Hold
- nøkler
- Vet
- kjent
- seinere
- siste
- lansere
- lansert
- LÆRE
- minst
- forlater
- venstre
- legitim
- Life
- i likhet med
- begrensninger
- oppført
- lister
- laste
- plassering
- gjøre
- maker
- Makers
- malware
- administrer
- fikk til
- leder
- manuelt
- Produsenter
- Margin
- max bredde
- Kan..
- midler
- mekanisme
- Minne
- bare
- Microsoft
- kunne
- feil
- MITM
- modeller
- modifisere
- mer
- må
- Naken sikkerhet
- navn
- innfødt
- nødvendig
- Trenger
- trenger
- nett
- nettverk
- nettverkstrafikk
- Ny
- nyheter
- Nei.
- normal
- spesielt
- Åpenbare
- of
- off
- ofte
- Gammel
- on
- ONE
- på nett
- bare
- åpen
- åpning
- drift
- operativsystem
- Alternativ
- or
- original
- Annen
- vår
- ut
- egen
- P&E
- del
- Spesielt
- passerer
- banen
- paul
- utføre
- vedvarende
- kastet
- Plain
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- Point
- posisjon
- mulig
- innlegg
- potensielt
- kraftig
- trekker
- presentere
- primære
- sannsynligvis
- Problem
- prosess
- Prosesser
- program
- Programmerer
- programmer
- beskyttelse
- gi
- gir
- gi
- formål
- sette
- ransomware
- Ransomware-angrep
- heller
- Lese
- Reader
- virkelig
- kjente igjen
- refererer
- regelmessig
- i slekt
- slektning
- erstatte
- påkrevd
- forskere
- Reserve
- ikke sant
- root
- runde
- rutinemessig
- Kjør
- rennende
- Sa
- samme
- sier
- Skjerm
- sikre
- sikkerhet
- Sikkerhetsprogramvare
- se
- synes
- sender
- forstand
- Sequence
- tjeneste
- Session
- sett
- innstilling
- oppsett
- undertegne
- signert
- ganske enkelt
- So
- Software
- solid
- Solutions
- noen
- spesifikk
- Standard
- startet
- starter
- oppstart
- Stick
- Still
- stjålet
- oppbevare
- streng
- slik
- foreslår
- Støtter
- SVG
- system
- Systemer
- fortelle
- enn
- Det
- De
- Fremtiden
- leddet
- deres
- Dem
- seg
- deretter
- Der.
- derfor
- Disse
- de
- tror
- denne
- selv om?
- tre
- Gjennom
- tid
- TLS
- til
- også
- topp
- trafikk
- overgang
- gjennomsiktig
- prøvd
- SVING
- snudde
- typen
- etter
- til
- uvanlig
- uønsket
- Oppdater
- oppdateringer
- URL
- bruke
- bruk sak
- Bruker
- Brukere
- bruker
- ved hjelp av
- vanligvis
- verktøyet
- validert
- leverandører
- Verifisering
- verifisere
- versjon
- veldig
- av
- Visitor
- volum
- Sårbar
- venter
- ønsker
- var
- Vei..
- we
- web
- Web-basert
- uker
- VI VIL
- velkjent
- var
- Hva
- når
- om
- hvilken
- HVEM
- hvem sin
- vil
- vinduer
- Windows-brukere
- med
- uten
- lurer
- ord
- ord
- arbeid
- virker
- bekymret
- skrive
- skriving
- du
- Din
- zephyrnet