В сотнях моделей материнских плат Gigabyte нашли бэкдор

Компания по кибербезопасности Eclypsium обнаружила в прошивке Gigabyte бэкдор, который подвергает риску взлома 271 модель материнских плат. К ним относятся модели с чипсетами Intel и AMD последних нескольких лет вплоть до новейших Z790 и X670 SKU. 

403cec424fd7f7fbe8a2d2ac403846c4.jpg

Уязвимость связана с программой обновления, которую Gigabyte использует для обеспечения актуальности прошивки материнской платы. По-видимому, её реализация не защищена.

При каждом перезапуске системы фрагмент кода активирует программу обновления, которая подключается к Интернету для проверки и загрузки последней версии прошивки для материнской платы. 

Eclypsium оценила реализацию Gigabyte как небезопасную, поскольку киберпреступники могут использовать эксплойт для установки вредоносного ПО в систему жертвы. Большая проблема заключается в том, что программа обновления находится внутри прошивки материнской платы, поэтому сами пользователи не могут легко удалить её. 

Gigabyte — не единственный поставщик, который использует этот тип программы для облегчения обновления прошивки. Другие производители материнских плат пользуются аналогичным методом. Например, так работает программное обеспечение Asus Armory Crate. 

Согласно выводам Eclypsium, программа обновления Gigabyte пингует три разных сайта в поисках обновлений прошивки:

  • http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4,

  • https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4,

  • https://software-nas/Swhttp/LiveUpdate4.

По оценке компании, программа обновления загружает код в систему пользователя без надлежащей аутентификации. Она не использует криптографическую проверку цифровой подписи или другие методы. В результате соединения HTTP и HTTPS уязвимы для атак типа «машина посередине» (MITM). 

В Eclypsium также обнаружили, что программа может загружать обновления прошивки с устройства NAS в локальной сети. Злоумышленник может аналогичным образом подделать NAS и заразить систему жертвы шпионским ПО.

Программа обновления выступает стандартным инструментом среди материнских плат Gigabyte. Eclypsium уже поделилась информацией с поставщиком, и он работает над решением для устранения уязвимости. Скорее всего, оно появится в обновлённой прошивке. 

Пока же владельцы материнских плат Gigabyte могут предпринять меры для защиты своих систем. Им рекомендуется отключить функцию «Загрузка и установка APP Center» в прошивке. Также пользователи могут установить пароль на уровне BIOS, чтобы предотвратить нежелательную злонамеренную активность. Наконец, они могут заблокировать вышеперечисленные три сайта, с которыми связывается программа обновления.

Ранее AMD рассказала об устранении 31 уязвимости, затрагивающей потребительские процессоры Ryzen и серверные EPYC. Исправления реализовали в версиях библиотеки AMD Generic Encapsulated Software Architecture (AGESA), которая используется OEM-производителями материнских плат для создания прошивок BIOS.

© Habrahabr.ru