Zdjęcie: GIGABYTE

Eclypsium, firma zajmująca się cyberbezpieczeństwem oprogramowania sprzętowego, udostępniła listę 271 płyt głównych sprzedawane przez firmę GIGABYTE, które według badaczy zawierają ukryty backdoor w oprogramowaniu układowym, który może zostać wykorzystany przez atakujących do zainstalowania złośliwego oprogramowania w systemie. „Nasza […] analiza wykazała, że ​​oprogramowanie sprzętowe w systemach Gigabyte upuszcza i wykonuje natywny plik wykonywalny Windows podczas procesu uruchamiania systemu, a następnie ten plik wykonywalny pobiera i wykonuje dodatkowe ładunki w sposób niepewny”, wyjaśnił Eclypsium w poście na blogu z dnia dzisiejszego, który szczegółowo opisuje działania firmy kluczowych ustaleń, w tym poziomu wpływu i tego, co organizacje z uszkodzonymi płytami głównymi mogą zrobić, aby zminimalizować ryzyko. Eclypsium twierdzi, że współpracuje z GIGABYTE w celu rozwiązania problemu, który wydaje się wynikać z funkcji App Center.

Z Eclypsium post:

Wydaje się, że ten backdoor implementuje zamierzoną funkcjonalność i wymagałby aktualizacji oprogramowania układowego, aby całkowicie usunąć go z systemów, których dotyczy problem. Chociaż nasze trwające dochodzenie nie potwierdziło wykorzystania przez konkretnego cyberprzestępcę, aktywny szeroko rozpowszechniony backdoor, który jest trudny do usunięcia, stanowi zagrożenie dla łańcucha dostaw dla organizacji korzystających z systemów Gigabyte.

Oprogramowanie układowe nie obsługuje żadnych funkcji kryptograficznych weryfikacja podpisu cyfrowego lub jakakolwiek inna weryfikacja plików wykonywalnych. Porzucony plik wykonywalny i normalnie pobierane narzędzia Gigabyte mają sygnaturę kryptograficzną Gigabyte, która spełnia wymagania dotyczące podpisywania kodu w systemie Microsoft Windows, ale niewiele to równoważy szkodliwe użycie, zwłaszcza jeśli jest wykorzystywane przy użyciu technik Living-off-the-Land (jak w niedawny alert dotyczący atakujących Volt Typhoon). W rezultacie każdy cyberprzestępca może to wykorzystać do trwałego infekowania wrażliwych systemów za pośrednictwem MITM lub zaatakowanej infrastruktury.

Dołącz do dyskusji na temat tego posta na naszych forach…

Categories: IT Info