Firmware ve tedarik zinciri güvenlik şirketi Eclypsium'daki araştırmacılar bulduğunu iddia etmek Tanınmış donanım üreticisi Gigabyte'ın yüzlerce anakart modelinde dramatik bir şekilde "arka kapı" olarak adlandırdıkları şey.
Aslında, Eclypsium'un başlığı ondan yalnızca bir arka kapı, ancak tümü büyük harf olarak ARKA KAPI.
İyi haber şu ki, bu, kötü bir şekilde uygulanmış meşru bir özellik gibi görünüyor, bu nedenle, her zamanki gibi, hain bir güvenlik açığı anlamında bir arka kapı değil. kasıtlı olarak yerleştirilmiş gelecekte yetkisiz erişim sağlamak için bir bilgisayar sistemine.
Yani, gündüz gelen bir ziyaretçinin binanın arkasındaki az bilinen bir pencereyi kasten açıp karanlıkta geri gelip barı soymasına benzemez.
Kötü haber şu ki, bu, kötü bir şekilde uygulanan meşru bir özellik gibi görünüyor ve etkilenen bilgisayarları potansiyel olarak siber suçlular tarafından suistimal edilmeye karşı savunmasız bırakıyor.
Yani, binanın arka tarafındaki az bilinen ve yanlışlıkla yanlışlıkla açık bırakılmış bir pencereye benziyor.
Ecylpsium'a göre sorun, olarak bilinen bir Gigabyte hizmetinin parçası. Uygulama Merkezi, Hangi "sisteminizde yüklü olan tüm GIGABYTE uygulamalarını kolayca başlatmanıza, ilgili güncellemeleri çevrimiçi olarak kontrol etmenize ve en yeni uygulamaları, sürücüleri ve BIOS'u indirmenize olanak tanır."
Zayıflıklarla otomatik güncellemeler
Araştırmacılar, bu APP Center ekosistemindeki hatalı bileşenin, adı verilen bir Gigabyte programı olduğunu söylüyor. GigabyteUpdateService.exe, içinde yüklü olan bir .NET uygulaması %SystemRoot%System32 dizini (sistem kökünüz genellikle C:Windows) ve başlangıçta bir Windows hizmeti olarak otomatik olarak çalışır.
Hizmetler arka plan işlemlerinin Windows eşdeğeridir veya cinleri Unix tarzı sistemlerde: genellikle kendi kullanıcı hesapları altında çalışırlar, genellikle SYSTEM hesap ve oturumu kapatsanız ve bilgisayarınız alçakgönüllü bir şekilde oturum açma ekranında bekliyor olsa bile her zaman çalışmaya devam ederler.
Bu GigabyteUpdateService program tam olarak adından da anlaşılacağı gibi görünüyor: yukarıda uygulamalar, sürücüler ve hatta BIOS üretici yazılımı olarak listelenen diğer Gigabyte bileşenleri için otomatik bir indirici ve yükleyici görevi görüyor.
Ne yazık ki, Eclypsium'a göre, yazılımı üç kablolu URL'den birinden alıp çalıştırıyor ve şu şekilde kodlanmış:
- Bir URL, düz eski HTTP kullanır, dolayısıyla indirme sırasında hiçbir kriptografik bütünlük koruması sağlamaz. Ağ trafiğinizin sunucularından geçtiği bir ortadaki manipülatör (MitM), yalnızca programın indirdiği herhangi bir dosyaya müdahale etmekle kalmaz, aynı zamanda bunları, örneğin kötü amaçlı yazılım bulaştırarak veya değiştirerek yol boyunca algılanamayacak şekilde değiştirir. tamamen farklı dosyalarla.
- İki URL, HTTPS kullanır, ancak güncelleme yardımcı programı, diğer uçtaki sunucunun geri gönderdiği HTTPS sertifikasını doğrulamaz. Bu, bir MitM'nin, sertifikanın Let's Encrypt, DigiCert veya GlobalSign gibi tanınmış bir sertifika yetkilisi (CA) tarafından onaylanıp imzalanmasına gerek kalmadan indiricinin beklediği sunucu adına verilen bir web sertifikasını sunabileceği anlamına gelir. Sahtekarlar, basitçe sahte bir sertifika oluşturabilir ve buna kendileri "kefil" olabilir.
- İndiricinin getirdiği ve çalıştırdığı programlar, gerçekten Gigabyte'tan geldiklerini kontrol etmek için kriptografik olarak doğrulanmaz. Windows, dijital olarak imzalanmamışlarsa indirilen dosyaların çalışmasına izin vermez, ancak herhangi bir kuruluşun dijital imzası iş görür. Siber suçlular, sahte paravan şirketleri kullanarak veya karanlık ağdan veri ihlalleri, fidye yazılımı saldırıları vb.
Bu kendi başına yeterince kötü, ama bundan biraz daha fazlası var.
Dosyaları Windows'a enjekte etme
Dışarı çıkıp yeni bir sürümünü alamazsınız. GigabyteUpdateService çünkü söz konusu program bilgisayarınıza alışılmadık bir şekilde gelmiş olabilir.
Windows'u istediğiniz zaman yeniden yükleyebilirsiniz ve standart bir Windows görüntüsü, bir Gigabyte anakart kullanıp kullanmayacağınızı bilmez, bu nedenle, GigabyteUpdateService.exe önceden yüklenmiş.
Bu nedenle Gigabyte, olarak bilinen bir Windows özelliğini kullanır. WPBTya da Windows Platform İkili Tablosu (Microsoft tarafından bir özellik olarak sunulur, ancak nasıl çalıştığını öğrendiğinizde aynı fikirde olmayabilirsiniz).
Bu "özellik", Gigabyte'ın GigabyteUpdateService programı içine System32 dizini, C: sürücünüz Bitlocker ile şifrelenmiş olsa bile doğrudan BIOS'unuzdan.
WPBT, üretici yazılımı üreticilerinin bir Windows yürütülebilir dosyasını BIOS görüntülerinde depolaması, ürün yazılımı ön yükleme işlemi sırasında belleğe yüklemesi ve ardından Windows'a şunları söylemesi için bir mekanizma sağlar: "C: sürücüsünün kilidini açtıktan ve önyüklemeye başladıktan sonra, sizin için ortalıkta bıraktığım bu bellek bloğunu okuyun, diske yazın ve başlatma işleminin başında çalıştırın."
Evet, doğru okudunuz.
Microsoft'un kendi belgelerine göre, Windows başlatma sırasına şu şekilde yalnızca bir program eklenebilir:
Diskteki dosya konumu
WindowsSystem32Wpbbin.exeişletim sistemi hacminde.
Ek olarak, bu konuda bazı katı kodlama sınırlamaları vardır. Wpbbin.exe program, özellikle:
WPBT, yalnızca işletim sistemi başlatma sırasında Windows Oturum Yöneticisi tarafından yürütülen yerel, kullanıcı modu uygulamaları destekler. Yerel uygulama, Windows API'sine (Win32) bağımlı olmayan bir uygulamayı ifade eder.
Ntdll.dllyerel bir uygulamanın tek DLL bağımlılığıdır. Yerel bir uygulamanın PE alt sistemi türü 1'dir (IMAGE_SUBSYSTEM_NATIVE).
Yerel mod kodundan .NET uygulamasına
Bu noktada, muhtemelen düşük seviyeli bir yerel uygulamanın hayata nasıl başladığını merak ediyorsunuzdur. Wpbbin.exe adlı tam gelişmiş bir .NET tabanlı güncelleme uygulaması olarak sona erer. GigabyteUpdateService.exe normal bir sistem hizmeti olarak çalışır.
Aynı şekilde, Gigabyte üretici yazılımı (kendisi Windows altında çalışamaz) gömülü bir IMAGE_SUBSYSTEM_NATIVE Windows'a “düştüğü” WPBT programı…
…bu nedenle, WPBT yerel mod kodu (kendisi normal bir Windows uygulaması olarak çalışamaz), gömülü bir .NET uygulaması içerir ve bu uygulama Windows'a "düşürür". System32 dizini daha sonra Windows başlatma işleminde başlatılacaktır.
Basitçe söylemek gerekirse, aygıt yazılımınızın belirli bir sürümü vardır. GigabyteUpdateService.exe belleniminizi güncelleyene kadar, APP Center güncelleyici hizmetinin kablolu sürümünü sizin için önyükleme sırasında Windows'a "sunulan" almaya devam edeceksiniz.
Burada bariz bir tavuk ve yumurta sorunu var, özellikle (ve ironik bir şekilde), APP Center ekosisteminin ürün yazılımınızı sizin için otomatik olarak güncellemesine izin verirseniz, güncellemenizin aynı donanım tarafından yönetilmesini çok iyi bir şekilde sonlandırabilirsiniz. değiştirmek istediğiniz yerleşik yazılıma dahil, güvenlik açığı bulunan güncelleme hizmeti.
Microsoft'un sözleriyle (vurgu bizim):
WPBT'nin birincil amacı, kritik yazılımların, işletim sistemi değiştirildiğinde veya "temiz" bir yapılandırmada yeniden yüklendiğinde bile devam etmesine izin vermektir. WPBT'nin kullanım durumlarından biri, bir aygıtın çalınması, biçimlendirilmesi ve yeniden yüklenmesi durumunda devam etmesi gereken hırsızlık önleme yazılımını etkinleştirmektir. [...] Bu işlevsellik güçlüdür ve bağımsız yazılım satıcılarına (ISV'ler) ve orijinal ekipman üreticilerine (OEM'ler) çözümlerinin süresiz olarak cihaza bağlı kalmasını sağlar.
Bu özellik, sistem yazılımını Windows bağlamında kalıcı olarak yürütme yeteneği sağladığından, WPBT tabanlı çözümlerin mümkün olduğu kadar güvenli olması ve Windows kullanıcılarını istismar edilebilir koşullara maruz bırakmaması kritik hale geliyor. Özellikle, WPBT çözümleri kötü amaçlı yazılım (ör. kötü amaçlı yazılım veya yeterli kullanıcı izni olmadan yüklenen istenmeyen yazılım) içermemelidir.
Epeyce.
Ne yapalım?
Bu gerçekten bir "arka kapı" mı?
Biz öyle düşünmüyoruz, çünkü bu kelimeyi aşağıdakiler gibi daha alçakça siber güvenlik davranışları için kullanmayı tercih ediyoruz: kasten zayıflatmak kasıtlı olarak inşa edilen şifreleme algoritmaları gizli şifreler, açılıyor belgelenmemiş komut ve kontrol yollarıVe benzeri.
Her neyse, iyi haber şu ki, bu WPBT tabanlı program enjeksiyonu kapatabileceğiniz bir Gigabyte anakart seçeneği.
Eclypsium araştırmacılarının kendileri şöyle dedi: “Bu ayar varsayılan olarak devre dışı gibi görünse de incelediğimiz sistemde etkindi” ancak Çıplak Güvenlik okuyucusu (bkz. aşağıdaki yorum) yazar, "Birkaç hafta önce bir Gigabyte ITX anakartı olan bir sistem kurdum ve Gigabyte App Center kutudan [BIOS'ta açıldı] çıktı."
Dolayısıyla, bir Gigabyte anakartınız varsa ve bu sözde arka kapı konusunda endişeleriniz varsa, bundan tamamen kaçınabilirsiniz: BIOS kurulumunuza gidin ve APP Merkezi İndirme ve Yükleme seçeneği kapalıdır.
Uç nokta güvenlik yazılımınızı veya kurumsal ağ güvenlik duvarınızı bile kullanabilirsiniz. güvenli olmayan güncelleme hizmetine bağlanan üç URL fişine erişimi engelleEclypsium'un şu şekilde listelediği:
http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4 https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4 https://software-nas SLASH Swhttp/LiveUpdate4
Açık olmak gerekirse, bu URL'leri engellemeyi denemedik, bu nedenle diğer gerekli veya önemli Gigabyte güncellemelerinin çalışmasını engelleyip engellemeyeceğinizi bilmiyoruz, ancak bu HTTP URL'si yoluyla indirmeleri engellemenin yine de iyi bir fikir olduğundan şüpheleniyoruz. .
Metinden tahmin ediyoruz LiveUpdate4 URL'nin yol kısmında, güncellemeleri manuel olarak indirip yönetebileceğiniz ve bunları kendi istediğiniz şekilde ve istediğiniz zaman dağıtabileceğiniz…
…ama bu sadece bir tahmin.
Ayrıca, Gigabyte'tan gelen güncellemeler için gözlerinizi dört açın.
O GigabyteUpdateService program kesinlikle iyileştirme sağlayabilir ve yama uygulandığında, yalnızca Windows sisteminizi değil, ana kartınızın sabit yazılımını güncellemeniz gerekebilir; gelecekte.
Windows'ta web tabanlı yüklemeleri işlemek için kod yazan bir programcıysanız, her zaman HTTPS kullanın ve bağlandığınız herhangi bir TLS sunucusunda her zaman en azından bir dizi temel sertifika doğrulama kontrolü gerçekleştirin.
Çünkü yapabilirsin.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoAiStream. Web3 Veri Zekası. Bilgi Genişletildi. Buradan Erişin.
- Adryenn Ashley ile Geleceği Basmak. Buradan Erişin.
- PREIPO® ile PRE-IPO Şirketlerinde Hisse Al ve Sat. Buradan Erişin.
- Kaynak: https://nakedsecurity.sophos.com/2023/06/02/researchers-claim-windows-backdoor-affects-hundreds-of-gigabyte-motherboards/
