Badacze odkryli oprogramowanie sprzętowe typu backdoor, które miało wpływ na 271 modeli płyt głównych GIGABYTE

Published by IT Info on

Zdjęcie: GIGABYTE

Eclypsium, firma zajmująca się cyberbezpieczeństwem oprogramowania sprzętowego, udostępniła listę 271 płyt głównych sprzedawane przez firmę GIGABYTE, które według badaczy zawierają ukryty backdoor w oprogramowaniu układowym, który może zostać wykorzystany przez atakujących do zainstalowania złośliwego oprogramowania w systemie. „Nasza […] analiza wykazała, że ​​oprogramowanie sprzętowe w systemach Gigabyte upuszcza i wykonuje natywny plik wykonywalny Windows podczas procesu uruchamiania systemu, a następnie ten plik wykonywalny pobiera i wykonuje dodatkowe ładunki w sposób niepewny”, wyjaśnił Eclypsium w poście na blogu z dnia dzisiejszego, który szczegółowo opisuje działania firmy kluczowych ustaleń, w tym poziomu wpływu i tego, co organizacje z uszkodzonymi płytami głównymi mogą zrobić, aby zminimalizować ryzyko. Eclypsium twierdzi, że współpracuje z GIGABYTE w celu rozwiązania problemu, który wydaje się wynikać z funkcji App Center.

Z Eclypsium post:

Wydaje się, że ten backdoor implementuje zamierzoną funkcjonalność i wymagałby aktualizacji oprogramowania układowego, aby całkowicie usunąć go z systemów, których dotyczy problem. Chociaż nasze trwające dochodzenie nie potwierdziło wykorzystania przez konkretnego cyberprzestępcę, aktywny szeroko rozpowszechniony backdoor, który jest trudny do usunięcia, stanowi zagrożenie dla łańcucha dostaw dla organizacji korzystających z systemów Gigabyte.

Oprogramowanie układowe nie obsługuje żadnych funkcji kryptograficznych weryfikacja podpisu cyfrowego lub jakakolwiek inna weryfikacja plików wykonywalnych. Porzucony plik wykonywalny i normalnie pobierane narzędzia Gigabyte mają sygnaturę kryptograficzną Gigabyte, która spełnia wymagania dotyczące podpisywania kodu w systemie Microsoft Windows, ale niewiele to równoważy szkodliwe użycie, zwłaszcza jeśli jest wykorzystywane przy użyciu technik Living-off-the-Land (jak w niedawny alert dotyczący atakujących Volt Typhoon). W rezultacie każdy cyberprzestępca może to wykorzystać do trwałego infekowania wrażliwych systemów za pośrednictwem MITM lub zaatakowanej infrastruktury.

Dołącz do dyskusji na temat tego posta na naszych forach…

Categories: IT Info

Related Posts

IT Info

Computex 2023 Roundup: Seasonic prezentuje swoją linię zasilaczy ATX 3.0 i zestawów wentylatorów Magflow, które można przymocować za pomocą magnesów

Image: Seasonic Witamy w pierwszym artykule podsumowującym Computex 2023, w którym każdego dnia będziemy omawiać produkty różnych producentów. Nasz własny David Schroth był w Tajpej, spotykając się z przedstawicielami i robiąc nam zdjęcia z pierwszej Read more…

IT Info

Crypto Scammer manipuluje fałszywą historią raka na Twitterze, aby sprzedawać NFT, oto więcej!

Społeczność Crypto na Twitterze zjednoczyła się, wspierając osobę, która twierdziła, że ​​jest pacjentem z rakiem i starała się sprzedać niezamienne tokeny (NFT) w celu walki z chorobą. Społeczność kryptowalut działała szybko jako tweet zyskał znaczną Read more…

IT Info

Storj i zkSync Era współpracują w celu ulepszenia płatności za zdecentralizowaną pamięć masową

Storj, dostawca zdecentralizowanej pamięci masowej w chmurze, nawiązał współpracę z zkSync Era, protokół warstwy 2 w Ethereum, w celu zwiększenia zdecentralizowanych opłat za przechowywanie. Storj współpracuje z erą zkSync Partnerstwo ma na celu wykorzystanie technologii Read more…