Onderzoekers beweren dat Windows "achterdeur" honderden gigabyte-moederborden beïnvloedt

Onderzoekers bij firmware- en supply chain-beveiligingsbedrijf Eclypsium beweren te hebben gevonden wat ze nogal dramatisch een "achterdeur" hebben genoemd in honderden moederbordmodellen van de bekende hardwaremaker Gigabyte.

Sterker nog, de kop van Eclypsium verwijst er niet alleen naar als een achterdeur, maar allemaal in hoofdletters als a ACHTERDEUR.

Het goede nieuws is dat dit een legitieme functie lijkt te zijn die slecht is geïmplementeerd, dus het is geen achterdeur in de gebruikelijke, verraderlijke betekenis van een beveiligingslek dat is opzettelijk ingebracht in een computersysteem om ongeautoriseerde toegang in de toekomst mogelijk te maken.

Het is dus niet zoiets als een bezoeker overdag die willens en wetens een weinig bekend raam aan de achterkant van het gebouw ontgrendelt, zodat ze onder dekking van de duisternis terug kunnen komen en inbreken in het gewricht.

Het slechte nieuws is dat dit een legitieme functie lijkt te zijn die slecht is geïmplementeerd, waardoor getroffen computers mogelijk kwetsbaar zijn voor misbruik door cybercriminelen.

Het is dus een beetje zoals een weinig bekend raam aan de achterkant van het gebouw dat vergeten per ongeluk niet is vergrendeld.

Het probleem is volgens Ecylpsium onderdeel van een Gigabyte-service die bekend staat als App Center, welke "Hiermee kunt u eenvoudig alle GIGABYTE-apps starten die op uw systeem zijn geïnstalleerd, gerelateerde updates online controleren en de nieuwste apps, stuurprogramma's en BIOS downloaden."

.s-knop+.s-knop { marge-links: .3125rem; } .s-knop { transitie: alle .15s lineair; lettergrootte: .875rem; lijnhoogte: 1.5; kleur: #f2f2f2; font-familie: SophosSansMedium, Helvetica Neue, Helvetica, Arial, schreefloos; lettergewicht: 400; lettertype-stijl: normaal; weergave: inline-blok; vulling: .3125rem 1.25rem; cursor: aanwijzer; tekst uitlijnen: midden; tekstdecoratie: geen; rand: 1px solide #005bc8; grens-radius: 3px; achtergrondkleur: #005bc8; tekstschaduw: geen; } .s-button:hover { tekstdecoratie: geen; kleur: #fff; randkleur: #002d62; achtergrondkleur: #002d62; } .s-knop-wit, .s-knop-wit:hover { kleur: #005bc8 !belangrijk; randkleur: #fff; achtergrondkleur: #fff; } .s-ad-sophos-mdr { font-size: 1rem; lijnhoogte: 1.5; kleur: #242629; font-familie: SophosSansRegular, Helvetica Neue, Helvetica, Arial, schreefloos; lettergewicht: 400; lettertype-stijl: normaal; positie: relatief; maximale breedte: 769px; marge: 15px automatisch; opvulling: 30px 30px 25px; overgang: box-schaduw .25s kubieke-bezier (.645, .045, .355, 1 ); tekst uitlijnen: midden; achtergrondkleur: #0d141d; achtergrondherhaling: geen herhaling; achtergrondpositie: 50%; achtergrondformaat: omslag; box-schaduw: 0 0 0 0 0 transparant; achtergrondkleur: #005bc8; achtergrondafbeelding: geen; achtergrondpositie: 0 0; } .s-ad-sophos-mdr__title { font-size: 2rem; lijnhoogte: 1.125; marge-onder: 4px; kleur: #fff; } .s-ad-sophos-mdr__text { font-familie: SophosSansLight, Helvetica Neue, Helvetica, Arial, schreefloos; lettergewicht: 400; lettertype-stijl: normaal; lettergrootte: 17px; kleur: #fff; } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-button { kleur: #fff; } .s-ad-sophos-mdr__link-wrapper { tekstdecoratie: geen; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba (0, 0, 0, .15); } .s-ad-sophos-mdr__sophos-logo { positie: absoluut; boven: 15px; rechts: 15px; } .s-ad-sophos-mdr__sophos-logo-svg { display: inline-block; breedte: 64px; hoogte: 11px; verticaal uitlijnen: boven; achtergrondherhaling: geen herhaling; achtergrondgrootte: 64px 11px; } .s-ad-sophos-mdr__title { font-familie: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, schreefloos; lettergewicht: 400; lettertype-stijl: normaal; lettergrootte: 28px; lettergewicht: 700; lijnhoogte: 1; marge-onder: 10px; tekst uitlijnen: links; } .s-ad-sophos-mdr__title svg { max-breedte: 100%; } .s-ad-sophos-mdr__text { font-size: 16px; lijnhoogte: 1.25; tekst uitlijnen: links; } .s-ad-sophos-mdr__action { text-align: rechts; } .s-ad-sophos-mdr .s-button { border-radius: 20px; } @media (min-breedte:769px) { .s-ad-sophos-mdr__text { marge-rechts: 140px; } .s-ad-sophos-mdr__action { positie: absoluut; rechts: 30px; onderkant: 30px; } } @media (max-breedte:768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { font-size: 1.625rem; } .s-ad-sophos-mdr__text { font-size: 16px; } .s-ad-sophos-mdr { padding-top: 30px; } }

Automatische updates met zwakke punten

De buggy-component in dit APP Center-ecosysteem, zeggen de onderzoekers, is een Gigabyte-programma genaamd GigabyteUpdateService.exe, een .NET-toepassing die is geïnstalleerd in de %SystemRoot%System32 directory (uw systeemroot is meestal C:Windows), en wordt bij het opstarten automatisch uitgevoerd als een Windows-service.

Diensten zijn het Windows-equivalent van achtergrondprocessen of daemons op systemen in Unix-stijl: ze draaien over het algemeen onder een eigen gebruikersaccount, vaak de SYSTEM account, en ze blijven de hele tijd actief, zelfs als u zich afmeldt en uw computer bescheiden op het aanmeldingsscherm wacht.

Deze GigabyteUpdateService programma, zo lijkt het, doet precies wat de naam doet vermoeden: het fungeert als een geautomatiseerde downloader en installer voor andere Gigabyte-componenten, hierboven vermeld als apps, stuurprogramma's en zelfs de BIOS-firmware zelf.

Helaas haalt het volgens Eclypsium software op en voert het uit vanaf een van de drie hard-wired URL's, en is het zo gecodeerd dat:

Eén URL gebruikt gewone oude HTTP, waardoor er tijdens het downloaden geen cryptografische integriteitsbescherming wordt geboden. Een manipulator-in-the-middle (MitM) via wiens servers uw netwerkverkeer passeert, kan niet alleen alle bestanden onderscheppen die het programma downloadt, maar ze onderweg ook ondetecteerbaar wijzigen, bijvoorbeeld door ze te infecteren met malware of door ze te vervangen met totaal verschillende bestanden.
Twee URL's gebruiken HTTPS, maar het updateprogramma verifieert niet het HTTPS-certificaat dat de server aan de andere kant terugstuurt. Dit betekent dat een MitM een webcertificaat kan presenteren dat is uitgegeven in de naam van de server die de downloader verwacht, zonder dat het certificaat hoeft te worden gevalideerd en ondertekend door een erkende certificeringsinstantie (CA) zoals Let's Encrypt, DigiCert of GlobalSign. Bedriegers kunnen eenvoudig een nepcertificaat maken en er zelf voor 'instaan'.
De programma's die de downloader ophaalt en uitvoert, worden niet cryptografisch gevalideerd om te controleren of ze echt van Gigabyte afkomstig zijn. Windows laat de gedownloade bestanden niet uitvoeren als ze niet digitaal zijn ondertekend, maar de digitale handtekening van elke organisatie is voldoende. Cybercriminelen verwerven routinematig hun eigen sleutels voor het ondertekenen van codes door nep-dekmantelbedrijven te gebruiken of door sleutels van het dark web te kopen die zijn gestolen bij datalekken, ransomware-aanvallen, enzovoort.

Dat is op zich al erg genoeg, maar er komt meer bij kijken.

Bestanden in Windows injecteren

Je kunt niet zomaar naar buiten gaan en een nieuwe versie van de GigabyteUpdateService hulpprogramma, omdat dat specifieke programma op een ongebruikelijke manier op uw computer kan zijn aangekomen.

U kunt Windows op elk moment opnieuw installeren, en een standaard Windows-image weet niet of u een Gigabyte-moederbord gaat gebruiken of niet, dus het wordt niet geleverd met GigabyteUpdateService.exe vooraf geïnstalleerd.

Gigabyte gebruikt daarom een Windows-functie die bekend staat als WPBTof Binaire tabel voor Windows-platform (het is gepitcht als een functie door Microsoft, hoewel je het er misschien niet mee eens bent als je leert hoe het werkt).

Met deze "functie" kan Gigabyte de GigabyteUpdateService programma in de System32 directory, rechtstreeks vanuit uw BIOS, zelfs als uw C:-schijf is versleuteld met Bitlocker.

WPBT biedt firmwaremakers een mechanisme om een uitvoerbaar Windows-bestand op te slaan in hun BIOS-images, het in het geheugen te laden tijdens het pre-bootproces van de firmware en vervolgens tegen Windows te zeggen: "Zodra je de C:-schijf hebt ontgrendeld en bent begonnen met opstarten, lees je dit geheugenblok in dat ik voor je heb laten liggen, schrijf het naar schijf en voer het vroeg in het opstartproces uit."

Ja, dat heb je goed gelezen.

Volgens de eigen documentatie van Microsoft kan op deze manier slechts één programma in de opstartvolgorde van Windows worden geïnjecteerd:

De bestandslocatie op de schijf is WindowsSystem32Wpbbin.exe op het volume van het besturingssysteem.

Bovendien zijn er enkele strikte coderingsbeperkingen Wpbbin.exe programma, met name dat:

WPBT ondersteunt alleen native toepassingen in de gebruikersmodus die worden uitgevoerd door Windows Session Manager tijdens de initialisatie van het besturingssysteem. Een native applicatie verwijst naar een applicatie die niet afhankelijk is van de Windows API (Win32). Ntdll.dll is de enige DLL-afhankelijkheid van een native applicatie. Een systeemeigen toepassing heeft een PE-subsysteemtype van 1 (IMAGE_SUBSYSTEM_NATIVE).

Van native-mode code tot .NET app

Op dit moment vraag je je waarschijnlijk af hoe een low-level native app die het leven begint als Wpbbin.exe eindigt als een volwaardige .NET-gebaseerde updatetoepassing genaamd GigabyteUpdateService.exe die wordt uitgevoerd als een normale systeemservice.

Welnu, net zoals de Gigabyte-firmware (die zelf niet onder Windows kan draaien) een embedded IMAGE_SUBSYSTEM_NATIVE WPBT-programma dat het in Windows "dropt" ...

...dus ook de WPBT native-mode code (die zelf niet als een gewone Windows-app kan worden uitgevoerd) bevat een ingebedde .NET-toepassing die het "dropt" in de System32 directory die later in het opstartproces van Windows wordt gestart.

Simpel gezegd, uw firmware heeft een specifieke versie van GigabyteUpdateService.exe ingebakken, en tenzij en totdat u uw firmware bijwerkt, blijft u die bedrade versie van de APP Center-updaterservice voor u "introduceren" in Windows tijdens het opstarten.

Er is hier een duidelijk kip-en-ei-probleem, met name (en ironisch genoeg) dat als je het APP Center-ecosysteem je firmware automatisch voor je laat updaten, het heel goed mogelijk is dat je update wordt beheerd door dezelfde hard-wired, ingebakken in de firmware, kwetsbare updateservice die u wilt vervangen.

In de woorden van Microsoft (onze nadruk):

Het primaire doel van WPBT is ervoor te zorgen dat kritieke software blijft bestaan, zelfs wanneer het besturingssysteem is gewijzigd of opnieuw is geïnstalleerd in een "schone" configuratie. Een use-case voor WPBT is het inschakelen van antidiefstalsoftware die nodig is om te blijven bestaan in het geval een apparaat is gestolen, geformatteerd en opnieuw is geïnstalleerd. […] Deze functionaliteit is krachtig en biedt Independent Software Vendors (ISV's) en Original Equipment Manufacturers (OEM's) de mogelijkheid om hun oplossingen voor onbepaalde tijd op het apparaat te laten plakken.

Omdat deze functie de mogelijkheid biedt om voortdurend systeemsoftware uit te voeren in de context van Windows, het wordt van cruciaal belang dat op WPBT gebaseerde oplossingen zo veilig mogelijk zijn en Windows-gebruikers niet blootstellen aan misbruikbare omstandigheden. In het bijzonder mogen WPBT-oplossingen geen malware bevatten (dwz schadelijke software of ongewenste software die is geïnstalleerd zonder de juiste toestemming van de gebruiker).

Heel.

Wat te doen?

Is dit echt een "achterdeurtje"?

Wij denken van niet, omdat we dat specifieke woord liever reserveren voor meer snode cyberbeveiligingsgedragingen, zoals opzettelijk verzwakken encryptie-algoritmen, bewust ingebouwd verborgen wachtwoorden, opengaan ongedocumenteerde commando- en controlepaden, Enzovoort.

Hoe dan ook, het goede nieuws is dat deze op WPBT gebaseerde programma-injectie een Gigabyte-moederbordoptie is die je kunt uitschakelen.

De Eclypsium-onderzoekers zeiden zelf: "Hoewel deze instelling standaard lijkt te zijn uitgeschakeld, was deze ingeschakeld op het systeem dat we hebben onderzocht," maar een Naked Security-lezer (zie laat je opmerking beneden achter) schrijft, "Ik heb net een paar weken geleden een systeem gebouwd met een Gigabyte ITX-kaart en het Gigabyte App Center was [ingeschakeld in het BIOS] out of the box."

Dus als je een Gigabyte-moederbord hebt en je maakt je zorgen over deze zogenaamde achterdeur, kun je deze volledig omzeilen: Ga naar uw BIOS-instellingen en zorg ervoor dat de APP Center downloaden en installeren optie is uitgeschakeld.

U kunt hiervoor zelfs uw endpoint-beveiligingssoftware of uw bedrijfsnetwerkfirewall gebruiken blokkeer de toegang tot de drie URL-slugs die zijn aangesloten op de onveilige updateservice, die door Eclypsium wordt vermeld als:

http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
https://software-nas SLASH Swhttp/LiveUpdate4

Voor alle duidelijkheid: we hebben niet geprobeerd deze URL's te blokkeren, dus we weten niet of u andere noodzakelijke of belangrijke Gigabyte-updates zou blokkeren, hoewel we vermoeden dat het sowieso een goed idee is om downloads via die HTTP-URL te blokkeren .

We gissen, uit de tekst LiveUpdate4 in het padgedeelte van de URL, dat u updates nog steeds handmatig kunt downloaden en beheren en ze op uw eigen manier en in uw eigen tijd kunt implementeren...

… maar dat is slechts een gok.

Dus, houd je ogen open voor updates van Gigabyte.

ZIJN GigabyteUpdateService programma zou zeker kunnen worden verbeterd, en wanneer het is gepatcht, moet u mogelijk de firmware van uw moederbord bijwerken, niet alleen uw Windows-systeem, om ervoor te zorgen dat u niet nog steeds de oude versie in uw firmware hebt begraven, wachtend om weer tot leven te komen in de toekomst.

En als u een programmeur bent die code schrijft om webgebaseerde downloads op Windows af te handelen, gebruik altijd HTTPS en voer altijd ten minste een basisset certificaatverificatiecontroles uit op elke TLS-server waarmee u verbinding maakt.

Omdat je kan.

Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
PlatoAiStream. Web3 gegevensintelligentie. Kennis versterkt. Toegang hier.
De toekomst slaan met Adryenn Ashley. Toegang hier.
Koop en verkoop aandelen in PRE-IPO-bedrijven met PREIPO®. Toegang hier.
Bron: https://nakedsecurity.sophos.com/2023/06/02/researchers-claim-windows-backdoor-affects-hundreds-of-gigabyte-motherboards/

Generatieve data-intelligentie

Onderzoekers beweren dat Windows "backdoor" honderden Gigabyte-moederborden treft

Automatische updates met zwakke punten

Bestanden in Windows injecteren

Van native-mode code tot .NET app

Wat te doen?

Van klikken tot geld: de economie achter online gokautomaten

Britse reclame meldt uitgaven van GBP36.6 miljard in 2023

Laatste intelligentie

Stripe voert opnieuw cryptobetalingen uit met USDC op Ethereum, Polygon en Solana

CanSinoBIO CSO deelt de nieuwste resultaten van het wereldwijd innovatieve pneumokokkenvaccin van het bedrijf

Inleiding tot natuurlijke taalverwerking [gratis NLP-cursus]

De Braziliaanse Neobank Nubank introduceert nieuwe Crypto Wallet-functies voor Bitcoin, Ether en Solana

Recreatieve marihuanawetten die niet gekoppeld zijn aan verhoogd marihuanagebruik onder jongeren – Verbinding met het medische marihuanaprogramma

Dode baby van een dag oud gevonden in Byo CBD -Newsday Zimbabwe – Medical Marihuana Program Connection

Chat met ons