固件和供应链安全公司 Eclypsium 的研究人员 声称找到了 他们在知名硬件制造商技嘉的数百种主板型号中戏剧性地称其为“后门”。
事实上,Eclypsium 的标题不仅将其称为 后门, 但都是大写的 后门.
好消息是,这似乎是一个合法的功能,但实施得很糟糕,所以它不是通常的、危险的安全漏洞意义上的后门。 故意插入 进入计算机系统以在将来提供未经授权的访问。
所以,这不像是白天的访客故意打开建筑物后面一扇鲜为人知的窗户,这样他们就可以在黑暗的掩护下返回并盗窃接头。
坏消息是,这似乎是一项合法功能,但实施不当,使受影响的计算机可能容易受到网络犯罪分子的滥用。
所以,它有点像大楼后面一扇鲜为人知的窗户,被遗忘地错误地打开了。
根据 Ecylpsium 的说法,这个问题是技嘉服务的一部分,称为 应用中心,这 “让您轻松启动系统上安装的所有 GIGABYTE 应用程序,在线检查相关更新,并下载最新的应用程序、驱动程序和 BIOS。”
自动更新弱点
研究人员说,这个 APP Center 生态系统中的错误组件是一个名为 Gigabyte 的程序 GigabyteUpdateService.exe
,安装在 %SystemRoot%System32
目录(您的系统根目录通常是 C:Windows
),并在启动时作为 Windows 服务自动运行。
特色服务 Windows 等同于后台进程或 守护程序 在 Unix 风格的系统上:它们通常在自己的用户帐户下运行,通常是 SYSTEM
帐户,并且它们一直在运行,即使您注销并且您的计算机正在登录屏幕上毫不客气地等待也是如此。
本篇 GigabyteUpdateService
程序,看起来,就像它的名字所暗示的那样:它充当其他技嘉组件的自动下载器和安装器,上面列出的应用程序、驱动程序甚至 BIOS 固件本身。
不幸的是,根据 Eclypsium,它从三个硬连线 URL 之一获取并运行软件,并且编码方式如下:
- 一个 URL 使用普通的旧 HTTP,因此在下载期间不提供加密完整性保护。 您的网络流量通过其服务器的中间人操纵者 (MitM) 不仅可以拦截程序下载的任何文件,还可以在此过程中以不可检测的方式修改它们,例如通过用恶意软件感染它们或替换它们完全不同的文件。
- 两个 URL 使用 HTTPS,但更新实用程序不会验证另一端服务器发回的 HTTPS 证书。 这意味着 MitM 可以提供以下载者期望的服务器名称颁发的 Web 证书,而无需让该证书由 Let's Encrypt、DigiCert 或 GlobalSign 等公认的证书颁发机构 (CA) 验证和签名。 冒名顶替者可以简单地创建一个假证书并自己“担保”它。
- 下载器获取和运行的程序未经过密码验证以检查它们是否真的来自技嘉。 如果下载的文件没有经过数字签名,Windows 不会让它们运行,但任何组织的数字签名都可以。 网络犯罪分子通常通过使用虚假的前台公司,或通过从暗网购买在数据泄露、勒索软件攻击等中被盗的密钥来获取自己的代码签名密钥。
这本身就够糟糕了,但还有更多的东西。
将文件注入 Windows
你不能只是出去拿一个新版本的 GigabyteUpdateService
实用程序,因为该特定程序可能以不寻常的方式到达您的计算机。
您可以随时重新安装 Windows,而标准的 Windows 映像并不知道您是否将使用技嘉主板,因此它不会随附 GigabyteUpdateService.exe
预装的。
因此,技嘉使用了一项名为 WPBT或 Windows 平台二进制表 (Microsoft 将其定位为一项功能,但当您了解它的工作原理时,您可能不同意)。
这个“功能”允许技嘉注入 GigabyteUpdateService
节目进入 System32
目录,直接从您的 BIOS 中删除,即使您的 C: 驱动器已使用 Bitlocker 加密。
WPBT 为固件制造商提供了一种机制,可以将 Windows 可执行文件存储在他们的 BIOS 映像中,在固件预启动过程中将其加载到内存中,然后告诉 Windows, “一旦你解锁了 C: 驱动器并开始启动,读入我为你留下的这块内存,将它写入磁盘,并在启动过程的早期运行它。”
是的,你没看错。
根据微软自己的文档,只有一个程序可以通过这种方式注入到 Windows 启动序列中:
磁盘文件位置是
WindowsSystem32Wpbbin.exe
在操作系统卷上。
此外,还有一些严格的编码限制 Wpbbin.exe
程序,特别是:
WPBT 仅支持在操作系统初始化期间由 Windows 会话管理器执行的本机用户模式应用程序。 本机应用程序是指不依赖于 Windows API (Win32) 的应用程序。
Ntdll.dll
是本机应用程序的唯一 DLL 依赖项。 本机应用程序的 PE 子系统类型为 1 (IMAGE_SUBSYSTEM_NATIVE
).
从本机模式代码到 .NET 应用程序
此时,您可能想知道一个低级本机应用程序是如何开始生活的 Wpbbin.exe
最终成为一个成熟的基于 .NET 的更新应用程序,称为 GigabyteUpdateService.exe
作为常规系统服务运行。
好吧,就像技嘉固件(它本身不能在 Windows 下运行)包含一个嵌入式 IMAGE_SUBSYSTEM_NATIVE
它“放入”Windows 的 WPBT 程序……
…因此,WPBT 本机模式代码(它本身不能作为常规 Windows 应用程序运行)包含一个嵌入式 .NET 应用程序,它“放入”到 System32
稍后在 Windows 启动过程中启动的目录。
简而言之,您的固件具有特定版本 GigabyteUpdateService.exe
融入其中,除非并且直到您更新固件,否则您将继续在启动时为您“引入”Windows 中的 APP Center 更新程序服务的硬连线版本。
这里有一个明显的先有鸡还是先有蛋的问题,特别是(具有讽刺意味的是)如果您让 APP Center 生态系统自动为您更新固件,您很可能最终会通过相同的硬连线管理您的更新,烘焙到固件中,您要替换的易受攻击的更新服务。
用微软的话说(我们强调):
WPBT 的主要目的是允许关键软件持续存在,即使操作系统已更改或以“干净”配置重新安装也是如此。 WPBT 的一个用例是启用防盗软件,该软件需要在设备被盗、格式化和重新安装的情况下持续存在。 […] 此功能非常强大,为独立软件供应商 (ISV) 和原始设备制造商 (OEM) 提供了让他们的解决方案无限期地应用于设备的能力。
由于此功能提供了在 Windows 上下文中持久执行系统软件的能力, 基于 WPBT 的解决方案尽可能安全并且不会将 Windows 用户暴露在可利用的条件下变得至关重要. 特别是,WPBT 解决方案不得包含恶意软件(即未经用户充分同意而安装的恶意软件或不需要的软件)。
相当。
怎么办呢?
这真的是“后门”吗?
我们不这么认为,因为我们更愿意为更邪恶的网络安全行为保留该特定词,例如 故意削弱 加密算法,故意内置 隐藏密码, 开放 未记录的命令和控制路径,等等。
无论如何,好消息是这个基于 WPBT 的程序注入是技嘉主板的一个选项,你可以关闭它。
Eclypsium 研究人员自己说, “虽然这个设置默认情况下似乎是禁用的,但它在我们检查的系统上是启用的,” 但是一个 Naked Security 读者(见 下面评论)写道, “几周前我刚刚用技嘉 ITX 板构建了一个系统,技嘉应用程序中心 [在 BIOS 中打开] 开箱即用。”
所以,如果你有一个技嘉主板并且你担心这个所谓的后门,你可以完全避开它: 进入您的 BIOS 设置并确保 APP中心下载安装 选项被关闭。
您甚至可以使用端点安全软件或公司网络防火墙来 阻止访问连接到不安全更新服务的三个 URL 段,Eclypsium 将其列为:
http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4 https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4 https://software-nas SLASH Swhttp/LiveUpdate4
澄清一下,我们没有尝试阻止这些 URL,所以我们不知道您是否会阻止任何其他必要或重要的技嘉更新工作,尽管我们怀疑通过该 HTTP URL 阻止下载无论如何是个好主意.
我们猜测,从文本 LiveUpdate4
在 URL 的路径部分,您仍然可以手动下载和管理更新,并以您自己的方式和时间部署它们……
……但这只是一个猜测。
也, 留意技嘉的更新。
那个 GigabyteUpdateService
程序肯定可以改进,当它打补丁时,您可能需要更新您的主板固件,而不仅仅是您的 Windows 系统,以确保您的固件中不会仍然埋藏着旧版本,等待恢复生机将来。
如果你是一名程序员,正在编写代码来处理 Windows 上基于 Web 的下载, 始终使用 HTTPS,并始终在您连接的任何 TLS 服务器上至少执行一组基本的证书验证检查.
因为你能。
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图爱流。 Web3 数据智能。 知识放大。 访问这里。
- 与 Adryenn Ashley 一起铸造未来。 访问这里。
- 使用 PREIPO® 买卖 PRE-IPO 公司的股票。 访问这里。
- Sumber: https://nakedsecurity.sophos.com/2023/06/02/researchers-claim-windows-backdoor-affects-hundreds-of-gigabyte-motherboards/
- :具有
- :是
- :不是
- $UP
- 1
- 15%
- a
- 对,能力--
- Able
- 关于
- 以上
- 绝对
- 滥用
- ACCESS
- 根据
- 账号管理
- 获得
- 行为
- 前
- 算法
- 所有类型
- 让
- 允许
- 沿
- 还
- 共
- 时刻
- an
- 和
- 任何
- API
- 应用
- 应用领域
- 应用领域
- 应用
- 保健
- 围绕
- AS
- At
- 攻击
- 作者
- 权威
- 汽车
- 自动化
- 自动
- 背部
- 后门
- 背景
- 背景图像
- 坏
- 惨
- 基本包
- BE
- 因为
- 成为
- 很
- 行为
- 位
- 阻止
- 闭塞
- 板
- 边界
- 半身裙/裤
- 盒子
- 违规
- 建筑物
- 建
- 但是
- 买房
- by
- CA
- 被称为
- 来了
- CAN
- 携带
- 进行
- 案件
- Center
- 证书
- 证书颁发机构
- 变
- 查
- 支票
- 要求
- 清除
- 码
- 编码
- 编码
- 颜色
- 如何
- 公司
- 公司
- 元件
- 组件
- 一台
- 电脑
- 配置
- 分享链接
- 同意
- 包含
- 上下文
- 公司
- 可以
- 外壳
- 创建信息图
- 危急
- 加密
- 网络罪犯
- 网络安全
- 黑暗
- 黑暗的网络
- data
- 数据泄露
- 默认
- 无疑
- 依赖
- 部署
- 设备
- 不同
- 数字
- 数字
- 直接
- 禁用
- 屏 显:
- do
- 文件
- 不
- 不会
- 别
- 下载
- 下载
- 显着
- 驾驶
- 驱动程序
- 配音
- ,我们将参加
- e
- 早
- 容易
- 生态系统
- 嵌入式
- 重点
- enable
- 启用
- 加密
- 加密
- 结束
- 端点
- 端点安全
- 结束
- 更多
- 确保
- 完全
- 设备
- 醚(ETH)
- 甚至
- 究竟
- 例子
- 执行
- 执行
- 预计
- 眼部彩妆
- 事实
- 假
- 专栏
- 少数
- 文件
- 档
- 火墙
- 针对
- 止
- 前
- 功能
- 未来
- 通常
- 得到
- 越来越
- Go
- 去
- 非常好
- 抢
- 处理
- 硬件
- 有
- 标题
- 高度
- 此处
- 穿孔
- 徘徊
- 创新中心
- HTML
- HTTP
- HTTPS
- 数百
- i
- 主意
- if
- 图片
- 图片
- 实施
- 重要
- 改进
- in
- 包括
- 独立
- 注入
- 不安全
- 诚信
- 成
- 讽刺地
- 发行
- IT
- 它的
- 本身
- 联合
- 只是
- 保持
- 键
- 知道
- 已知
- 后来
- 最新
- 发射
- 推出
- 学习用品
- 最少
- 离开
- 左
- 合法
- 生活
- 喜欢
- 限制
- 已发布
- 书单
- 加载
- 圖書分館的位置
- 使
- 制造者
- 庄家
- 恶意软件
- 管理
- 管理
- 经理
- 手动
- 制造商
- 余量
- 最大宽度
- 可能..
- 手段
- 机制
- 内存
- 仅仅
- 微软
- 可能
- 错误
- MITM
- 模型
- 修改
- 更多
- 必须
- 裸体安全
- 姓名
- 本地人
- 必要
- 需求
- 需要
- 净
- 网络
- 网络流量
- 全新
- 消息
- 没有
- 正常
- 特别是
- 明显
- of
- 折扣
- 经常
- 老
- on
- 一
- 在线
- 仅由
- 打开
- 开放
- 操作
- 操作系统
- 附加选项
- or
- 原版的
- 其他名称
- 我们的
- 输出
- 己
- 市盈率
- 部分
- 特别
- 通行证
- 径
- 保罗
- 演出
- 执着地
- 倾斜的
- 朴素
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 点
- 位置
- 可能
- 帖子
- 可能
- 强大
- 比较喜欢
- 当下
- 小学
- 大概
- 市场问题
- 过程
- 过程
- 曲目
- 程序员
- 训练课程
- 保护
- 提供
- 提供
- 优
- 目的
- 放
- 勒索
- 勒索软件攻击
- 宁
- 阅读
- 读者
- 真
- 认可
- 指
- 定期
- 有关
- 相对的
- 更换
- 必须
- 研究人员
- 保留区(Reserve)
- 右
- 根
- 圆
- 常规
- 运行
- 运行
- 说
- 同
- 对工资盗窃
- 屏风
- 安全
- 保安
- 安全软件
- 看到
- 似乎
- 发送
- 感
- 序列
- 服务
- 会议
- 集
- 设置
- 格局
- 签署
- 签
- 只是
- So
- 软件
- 固体
- 解决方案
- 一些
- 具体的
- 标准
- 开始
- 启动
- 启动
- 棒
- 仍
- 被盗
- 商店
- 严格
- 这样
- 提示
- 支持
- SVG的
- 系统
- 产品
- 展示
- 比
- 这
- 未来
- 关节
- 其
- 他们
- 他们自己
- 然后
- 那里。
- 因此
- 博曼
- 他们
- 认为
- Free Introduction
- 虽然?
- 三
- 通过
- 次
- TLS
- 至
- 也有
- 最佳
- 交通
- 过渡
- 透明
- 尝试
- 转
- 转身
- 类型
- 下
- 直到
- 异常
- 无用
- 更新
- 最新动态
- 网址
- 使用
- 用例
- 用户
- 用户
- 使用
- 运用
- 平时
- 效用
- 验证
- 厂商
- 企业验证
- 确认
- 版本
- 非常
- 通过
- 游客
- 体积
- 脆弱
- 等候
- 想
- 是
- 方法..
- we
- 卷筒纸
- 基于网络的
- 周
- 井
- 知名
- 为
- 什么是
- ,尤其是
- 是否
- 这
- WHO
- 谁的
- 将
- 窗户
- Windows用户
- 也完全不需要
- 想知道
- Word
- 话
- 加工
- 合作
- 担心
- 写
- 写作
- 您
- 您一站式解决方案
- 和风网