Resim: GIGABYTE
Firmware odaklı bir siber güvenlik şirketi olan Eclypsium, 271 anakartlık bir liste paylaştı araştırmacılara göre, saldırganlar tarafından bir sisteme kötü amaçlı yazılım yüklemek için kullanılabilecek aygıt yazılımında gizli bir arka kapı içeren GIGABYTE tarafından satılmaktadır. Eclypsium, bugün yayınlanan ve şirketin ayrıntılarını içeren bir blog gönderisinde”Analizimiz, Gigabyte sistemlerindeki üretici yazılımının sistem başlatma işlemi sırasında Windows’a özgü bir yürütülebilir dosyayı düşürdüğünü ve çalıştırdığını ve bu yürütülebilir dosyanın daha sonra ek yükleri güvensiz bir şekilde indirip çalıştırdığını keşfetti.”etki düzeyi ve etkilenen anakartlara sahip kuruluşların riski en aza indirmek için neler yapabileceği dahil olmak üzere önemli bulgular. Eclypsium, App Center özelliğinden kaynaklandığı anlaşılan sorunu çözmek için GIGABYTE ile birlikte çalıştığını söylüyor.
Bir Eclypsium gönderisi:
Bu arka kapı kasıtlı işlevsellik uyguluyor gibi görünüyor ve onu etkilenen sistemlerden tamamen kaldırmak için bir üretici yazılımı güncellemesi gerektiriyor. Devam eden araştırmamız belirli bir tehdit aktörü tarafından suistimal edildiğini doğrulamasa da, kaldırılması zor olan etkin, yaygın bir arka kapı, Gigabyte sistemlerine sahip kuruluşlar için tedarik zinciri riski oluşturur.
Bellenim herhangi bir şifreleme uygulamaz yürütülebilir dosyalar üzerinde dijital imza doğrulaması veya başka herhangi bir doğrulama. Bırakılan yürütülebilir dosya ve normal olarak indirilen Gigabyte araçları, Microsoft Windows’un kod imzalama gereksinimlerini karşılayan bir Gigabyte şifreleme imzasına sahiptir, ancak bu, özellikle Living-off-the-Land teknikleri kullanılarak istismar edildiğinde (örneğin, Volt Typhoon saldırganlarıyla ilgili son uyarı). Sonuç olarak, herhangi bir tehdit aktörü bunu, MITM veya güvenliği ihlal edilmiş altyapı yoluyla savunmasız sistemlere kalıcı olarak bulaştırmak için kullanabilir.
Forumlarımızda bu gönderi için tartışmaya katılın…
