Дослідники компанії Eclypsium, що займається захистом програмного забезпечення та ланцюга поставок стверджувати, що знайшов те, що вони досить різко охрестили «бекдором» у сотнях моделей материнських плат від відомого виробника обладнання Gigabyte.
Фактично, заголовок Eclypsium згадує його не просто як a закулісний, але все у верхньому регістрі як a ЗАДНІ ДВЕРІ.
Хороша новина полягає в тому, що це, здається, легітимна функція, яка була реалізована погано, тому це не бекдор у звичайному, підступному розумінні діри в безпеці, яка була навмисно вставлено в комп’ютерну систему для забезпечення несанкціонованого доступу в майбутньому.
Отже, це не схоже на те, що денний відвідувач свідомо відкриває маловідоме вікно в задній частині будівлі, щоб повернутися під покровом темряви та пограбувати заклад.
Погана новина полягає в тому, що це, здається, легітимна функція, яку було реалізовано неналежним чином, що робить уражені комп’ютери потенційно вразливими для зловживань з боку кіберзлочинців.
Отже, це трохи схоже на маловідоме вікно навколо задньої частини будівлі, яке забудькувато залишили незачиненим помилково.
За даними Ecylpsium, проблема є частиною служби Gigabyte, відомої як Центр додатків, Яка «дозволяє легко запускати всі програми GIGABYTE, встановлені у вашій системі, перевіряти відповідні оновлення в Інтернеті та завантажувати найновіші програми, драйвери та BIOS».
Автоматичні оновлення зі слабкими місцями
Компонент із помилками в екосистемі APP Center, кажуть дослідники, — це програма Gigabyte під назвою GigabyteUpdateService.exe
, програма .NET, яка встановлена в %SystemRoot%System32
каталог (зазвичай коренем вашої системи є C:Windows
) і запускається автоматично під час запуску як служба Windows.
Послуги є еквівалентом фонових процесів Windows або демони на системах у стилі Unix: вони зазвичай працюють під власним обліковим записом користувача, часто обліковим записом SYSTEM
обліковий запис, і вони продовжують працювати весь час, навіть якщо ви вийшли, а ваш комп’ютер непомітно чекає на екрані входу.
це GigabyteUpdateService
Програма, здається, робить саме те, що підказує її назва: вона діє як автоматичний завантажувач і інсталятор для інших компонентів Gigabyte, перерахованих вище як програми, драйвери і навіть сама прошивка BIOS.
На жаль, згідно з Eclypsium, він отримує та запускає програмне забезпечення з однієї з трьох підключених URL-адрес і був закодований таким чином, що:
- Одна URL-адреса використовує звичайний старий HTTP, таким чином не забезпечуючи криптографічного захисту цілісності під час завантаження. Посередній маніпулятор (MitM), через сервери якого проходить ваш мережевий трафік, може не тільки перехоплювати будь-які файли, які завантажує програма, але й непомітно змінювати їх попутно, наприклад, заражаючи шкідливим програмним забезпеченням або замінюючи їх з різними файлами взагалі.
- Дві URL-адреси використовують HTTPS, але утиліта оновлення не перевіряє сертифікат HTTPS, який сервер на іншому кінці надсилає назад. Це означає, що MitM може представити веб-сертифікат, виданий від імені сервера, якого очікує завантажувач, без необхідності перевіряти цей сертифікат і підписувати його визнаним центром сертифікації (CA), таким як Let's Encrypt, DigiCert або GlobalSign. Самозванці могли просто створити фальшивий сертифікат і «ручитися» за нього самостійно.
- Програми, які завантажувач отримує та запускає, не перевіряються криптографічно, щоб перевірити, чи вони дійсно надійшли від Gigabyte. Windows не дозволить запускати завантажені файли, якщо вони не мають цифрового підпису, але цифровий підпис будь-якої організації підійде. Кіберзлочинці регулярно отримують власні ключі для підпису коду, використовуючи фіктивні підставні компанії або купуючи ключі з темної мережі, які були вкрадені під час витоку даних, атак програм-вимагачів тощо.
Це досить погано само по собі, але в цьому є дещо більше.
Введення файлів у Windows
Ви не можете просто піти та взяти нову версію GigabyteUpdateService
утиліту, оскільки ця конкретна програма могла потрапити на ваш комп’ютер незвичним чином.
Ви можете перевстановити Windows у будь-який час, і стандартний образ Windows не знає, чи будете ви використовувати материнську плату Gigabyte чи ні, тому він не поставляється з GigabyteUpdateService.exe
попередньо встановлений.
Тому Gigabyte використовує функцію Windows, відому як WPBTабо Двійкова таблиця платформи Windows (корпорація Майкрософт представила це як функцію, хоча ви можете не погодитися, коли дізнаєтесь, як це працює).
Ця «функція» дозволяє Gigabyte вводити GigabyteUpdateService
програму в System32
безпосередньо з BIOS, навіть якщо ваш диск C: зашифровано за допомогою Bitlocker.
WPBT забезпечує механізм для виробників мікропрограм, щоб зберігати виконуваний файл Windows у своїх образах BIOS, завантажувати його в пам’ять під час процесу попереднього завантаження мікропрограми, а потім повідомляти Windows, «Після того як ви розблокуєте диск C: і почнете завантаження, прочитайте цей блок пам’яті, який я залишив для вас, запишіть його на диск і запустіть на початку процесу запуску».
Так, ви правильно це прочитали.
Відповідно до власної документації Microsoft, таким чином у послідовність запуску Windows можна вставити лише одну програму:
Розташування файлу на диску
WindowsSystem32Wpbbin.exe
на томі операційної системи.
Крім того, існують деякі суворі обмеження щодо кодування Wpbbin.exe
програму, зокрема, що:
WPBT підтримує лише рідні програми в режимі користувача, які виконуються диспетчером сеансів Windows під час ініціалізації операційної системи. Власна програма стосується програми, яка не залежить від Windows API (Win32).
Ntdll.dll
це єдина залежність DLL рідної програми. Рідна програма має підсистему PE типу 1 (IMAGE_SUBSYSTEM_NATIVE
).
Від коду рідного режиму до програми .NET
На цьому етапі вам, напевно, цікаво, як низькорівнева нативна програма починає життя Wpbbin.exe
закінчується як повномасштабна програма оновлення на основі .NET під назвою GigabyteUpdateService.exe
який працює як звичайна системна служба.
Ну, так само, як мікропрограма Gigabyte (яка сама не може працювати під Windows) містить вбудований IMAGE_SUBSYSTEM_NATIVE
Програма WPBT, яку вона «скидає» в Windows…
…тож код у рідному режимі WPBT (який сам по собі не може працювати як звичайна програма Windows) містить вбудовану програму .NET, яку він «скидає» в System32
каталог, який буде запущено пізніше в процесі завантаження Windows.
Простіше кажучи, ваша мікропрограма має певну версію GigabyteUpdateService.exe
і до тих пір, поки ви не оновите мікропрограму, ви продовжуватимете отримувати ту провідну версію служби оновлення APP Center, яка буде «впроваджена» в Windows під час завантаження.
Тут є очевидна проблема з куркою та яйцем, зокрема (і за іронією долі), що якщо ви дозволите екосистемі APP Center автоматично оновлювати мікропрограму для вас, цілком можливо, що вашим оновленням керуватиме той самий апаратний, вбудована в прошивку, вразлива служба оновлення, яку ви хочете замінити.
За словами Microsoft (наше виділення):
Основна мета WPBT — дозволити критичному програмному забезпеченню зберігатися, навіть якщо операційну систему було змінено або перевстановлено в «чистій» конфігурації. Одним із варіантів використання WPBT є ввімкнення програмного забезпечення для захисту від крадіжок, яке має зберігатися, якщо пристрій було вкрадено, відформатовано та перевстановлено. […] Ця потужна функція дає можливість незалежним постачальникам програмного забезпечення (ISV) і виробникам оригінального обладнання (OEM) використовувати свої рішення для пристрою на невизначений термін.
Оскільки ця функція надає можливість постійно виконувати системне програмне забезпечення в контексті Windows, стає критично важливо, щоб рішення на основі WPBT були максимально безпечними та не наражали користувачів Windows на небезпечні умови. Зокрема, рішення WPBT не повинні містити зловмисне програмне забезпечення (тобто шкідливе або небажане програмне забезпечення, встановлене без відповідної згоди користувача).
Досить.
Що ж робити?
Чи справді це «бекдор»?
Ми так не думаємо, тому що ми б віддали перевагу зарезервувати це конкретне слово для більш мерзенних дій у сфері кібербезпеки, як-от навмисне послаблення алгоритми шифрування, навмисно вбудовані приховані паролі, відкриваючи недокументовані командно-адміністративні шляхи, І так далі.
У будь-якому випадку, хороша новина полягає в тому, що це впровадження програми на основі WPBT є опцією материнської плати Gigabyte, яку ви можете вимкнути.
Самі дослідники Eclypsium сказали, «Хоча цей параметр, здається, вимкнено за замовчуванням, він був увімкнений у перевіреній нами системі», але читач Naked Security (див коментар нижче) пише, «Я щойно створив систему з платою Gigabyte ITX кілька тижнів тому, і Gigabyte App Center був [увімкнений у BIOS] із коробки».
Отже, якщо у вас є материнська плата Gigabyte і вас турбує цей так званий бекдор, ви можете повністю його обійти: Зайдіть у налаштування BIOS і переконайтеся, що APP Center Завантаження та встановлення опція вимкнена.
Для цього можна навіть використовувати програмне забезпечення безпеки кінцевої точки або брандмауер корпоративної мережі заблокувати доступ до трьох URL-адрес, підключених до незахищеної служби оновлення, який Eclypsium перелічує як:
http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4 https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4 https://software-nas SLASH Swhttp/LiveUpdate4
Щоб було зрозуміло, ми не намагалися заблокувати ці URL-адреси, тому ми не знаємо, чи заблокуєте ви роботу будь-яких інших необхідних або важливих оновлень Gigabyte, хоча ми підозрюємо, що блокування завантажень через цю URL-адресу HTTP все одно є гарною ідеєю .
Ми здогадуємося з тексту LiveUpdate4
у частині шляху URL-адреси, що ви все одно зможете завантажувати та керувати оновленнями вручну та розгортати їх у свій спосіб і у свій час…
…але це лише припущення.
Крім того, слідкуйте за оновленнями від Gigabyte.
Що GigabyteUpdateService
Програму, безперечно, можна покращити, і коли її виправлять, можливо, вам знадобиться оновити мікропрограму материнської плати, а не лише систему Windows, щоб переконатися, що у вашій мікропрограмі все ще немає старої версії, яка чекає, щоб повернутися до життя в майбутньому.
І якщо ви програміст, який пише код для обробки веб-завантажень у Windows, завжди використовуйте HTTPS і завжди виконуйте принаймні базовий набір перевірок перевірки сертифікатів на будь-якому сервері TLS, до якого ви підключаєтеся.
Тому що ти можеш.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoAiStream. Web3 Data Intelligence. Розширення знань. Доступ тут.
- Карбування майбутнього з Адріенн Ешлі. Доступ тут.
- Купуйте та продавайте акції компаній, які вийшли на IPO, за допомогою PREIPO®. Доступ тут.
- джерело: https://nakedsecurity.sophos.com/2023/06/02/researchers-claim-windows-backdoor-affects-hundreds-of-gigabyte-motherboards/
- : має
- :є
- : ні
- $UP
- 1
- 15%
- a
- здатність
- Здатний
- МЕНЮ
- вище
- абсолют
- зловживання
- доступ
- За
- рахунки
- набувати
- акти
- назад
- алгоритми
- ВСІ
- дозволяти
- дозволяє
- по
- Також
- взагалі
- завжди
- an
- та
- будь-який
- API
- додаток
- додаток
- застосування
- додатка
- ЕСТЬ
- навколо
- AS
- At
- нападки
- автор
- влада
- автоматичний
- Автоматизований
- автоматично
- назад
- закулісний
- фон
- фонове зображення
- поганий
- погано
- основний
- BE
- оскільки
- стає
- було
- поведінки
- Біт
- Блокувати
- блокування
- рада
- border
- дно
- Box
- порушення
- Створюємо
- побудований
- але
- Купівля
- by
- CA
- званий
- прийшов
- CAN
- нести
- Продовжуй
- випадок
- Центр
- сертифікат
- сертифікуюча
- змінилися
- перевірка
- Перевірки
- стверджувати
- ясно
- код
- закодований
- Кодування
- color
- Приходити
- Компанії
- компанія
- компонент
- Компоненти
- комп'ютер
- комп'ютери
- конфігурація
- З'єднуватися
- згода
- містить
- контекст
- Корпоративний
- може
- обкладинка
- створювати
- критичний
- криптографічні
- кіберзлочинці
- Кібербезпека
- темно
- Dark Web
- дані
- Порушення даних
- дефолт
- безумовно
- Залежність
- розгортання
- пристрій
- різний
- цифровий
- в цифровому вигляді
- безпосередньо
- інвалід
- дисплей
- do
- документація
- робить
- Ні
- Не знаю
- скачати
- завантажень
- різко
- управляти
- драйвери
- охрестили
- під час
- e
- Рано
- легко
- екосистема
- вбудований
- акцент
- включіть
- включений
- зашифрованих
- шифрування
- кінець
- Кінцева точка
- Захист кінцевої точки
- закінчується
- досить
- забезпечувати
- повністю
- обладнання
- Еквівалент
- Ефір (ETH)
- Навіть
- точно
- приклад
- виконувати
- виконано
- чекає
- очі
- факт
- підроблений
- особливість
- кілька
- філе
- Файли
- брандмауер
- для
- від
- перед
- функціональність
- майбутнє
- в цілому
- отримати
- отримання
- Go
- буде
- добре
- захоплення
- обробляти
- апаратні засоби
- Мати
- headline
- висота
- тут
- Hole
- hover
- Як
- HTML
- HTTP
- HTTPS
- Сотні
- i
- ідея
- if
- зображення
- зображень
- реалізовані
- важливо
- поліпшення
- in
- включати
- незалежний
- вводити
- небезпечно
- цілісність
- в
- Як не дивно
- Випущений
- IT
- ЙОГО
- сам
- спільна
- просто
- тримати
- ключі
- Знати
- відомий
- пізніше
- останній
- запуск
- запущений
- УЧИТЬСЯ
- найменш
- догляд
- залишити
- законний
- життя
- як
- недоліки
- Перераховані
- списки
- загрузка
- розташування
- зробити
- виробник
- Makers
- шкідливих програм
- управляти
- вдалося
- менеджер
- вручну
- Виробники
- Маржа
- макс-ширина
- Може..
- засоби
- механізм
- пам'ять
- просто
- Microsoft
- може бути
- помилка
- MITM
- Моделі
- змінювати
- більше
- повинен
- Гола безпека
- ім'я
- рідний
- необхідно
- Необхідність
- нужденних
- мережу
- мережу
- мережевий трафік
- Нові
- новини
- немає
- нормальний
- особливо
- Очевидний
- of
- від
- часто
- Старий
- on
- ONE
- онлайн
- тільки
- відкрити
- відкриття
- операційний
- операційна система
- варіант
- or
- оригінал
- Інше
- наші
- з
- власний
- P&E
- частина
- приватність
- проходить
- шлях
- Пол
- виконувати
- наполегливо
- розбито
- одноколірний
- платформа
- plato
- Інформація про дані Платона
- PlatoData
- точка
- положення
- це можливо
- Пости
- потенційно
- потужний
- надавати перевагу
- представити
- первинний
- ймовірно
- Проблема
- процес
- процеси
- програма
- Програміст
- програми
- захист
- забезпечувати
- забезпечує
- забезпечення
- мета
- put
- вимагачів
- Вимагальні програми
- швидше
- Читати
- читач
- насправді
- визнані
- відноситься
- регулярний
- пов'язаний
- відносний
- замінювати
- вимагається
- Дослідники
- Резерв
- право
- корінь
- круглий
- звичайно
- прогін
- біг
- Зазначений
- то ж
- say
- Екран
- безпечний
- безпеку
- Програмне забезпечення безпеки
- побачити
- Здається,
- посилає
- сенс
- Послідовність
- обслуговування
- Сесія
- комплект
- установка
- установка
- підпис
- підписаний
- просто
- So
- Софтвер
- solid
- Рішення
- деякі
- конкретний
- standard
- почалася
- починається
- введення в експлуатацію
- палиця
- Як і раніше
- вкрали
- зберігати
- строгий
- такі
- Запропонує
- Опори
- SVG
- система
- Systems
- сказати
- ніж
- Що
- Команда
- Майбутнє
- суглоб
- їх
- Їх
- самі
- потім
- Там.
- отже
- Ці
- вони
- думати
- це
- хоча?
- три
- через
- час
- TLS
- до
- занадто
- топ
- трафік
- перехід
- прозорий
- намагався
- ПЕРЕГЛЯД
- Опинився
- тип
- при
- до
- незвичайний
- небажаний
- Оновити
- Updates
- URL
- використання
- використання випадку
- користувач
- користувачі
- використовує
- використання
- зазвичай
- утиліта
- підтверджено
- постачальники
- перевірка
- перевірити
- версія
- дуже
- через
- Відвідувач
- обсяг
- Вразливий
- Очікування
- хотіти
- було
- шлях..
- we
- Web
- Web-Based
- тижня
- ДОБРЕ
- добре відомі
- були
- Що
- коли
- Чи
- який
- ВООЗ
- чий
- волі
- windows
- Користувачі Windows
- з
- без
- цікаво
- слово
- слова
- робочий
- працює
- хвилювалися
- запис
- лист
- ви
- вашу
- зефірнет