BezpečnosťSpravodajstvoZariadenia

Známy výrobca počítačov má chybu vo firmvéri, ktorá otvára hackerom dvere do zariadenia

Stovky modelov počítačov spoločnosti Gigabyte majú závažnú slabinu v programe App center.

Výskumníci z platformy Eclypsium si všimli zadné vrátka v produktoch spoločnosti Gigabyte. Analýza bezpečnostných expertov ukázala, že systémy spoločnosti Gigabyte počas štartu operačného systému Windows spúšťajú EXE súbor, ktorý sťahuje a spustí dodatočné programy nezabezpečeným spôsobom. V tomto prípade funguje podobne ako iné backdoor softvéry, napríklad LoJack DoubleAgent. Túto metódu používajú kyberzločinci pomerne často, no podobá sa aj na rôzne nebezpečné softvéry zavedené priamo do firmwaru.

Experti hovoria, že táto slabina sa nachádza v stovkách modelov počítačov od spoločnosti Gigabyte a objavuje sa v ich aplikácii App Center. Táto aplikácia vám umožňuje jednoducho a rýchlo spustiť všetky programy od Gigabyte, no v budúcnosti by sa pomocou zadných dvierok mohli do aplikácie dostať hackeri a vykonať rôzne druhy útokov.

Odoberajte Vosveteit.sk cez Telegram a prihláste sa k odberu správ

Čo sa týchto konkrétnych zadných dvierok týka, zdá sa že implementujú úmyselné funkcionality a na ich úplné odstránenie by sa vyžadovala aktualizácia firmwaru. Momentálne si však experti nevšimli, že by zadné dvierka využíval nejaký konkrétny hacker alebo skupina. Ide však o závažnú slabinu, ktorú nie je až tak ľahké odstrániť. Nebezpečiu teda čelia všetky Gigabyte systémy.

Firmware Gigabyte systémov spúšťa EXE súbor, ktorý má schopnosť stiahnuť a spustiť ďalšie súbory, ktoré stiahol z internetu. Tieto procesy a spúšťajú počas štartu operačného systému Windows. Neznamená to ale, že počítače od Gigabyte vám sťahujú do zariadenia malware. Ide o funkciu, ktorá sa pripája na servery spoločnosti a odtiaľ sťahuje aktualizačné súbory alebo iné potrebné dáta.

Ohrozené sú stovky modelov

Problém v tomto prípade je to, že ide o nezabezpečený proces. Znamená to, že hackeri môžu nad týmto procesom prevziať kontrolu a prostredníctvom neho dostať do počítača malvér. Jednu z webových stránok, odkiaľ tento proces sťahuje aktualizácie, nechráni protokol HTTPS. Znamená to, že dáta nie sú šifrované a hacker môže ľahko vykonať Man-in-the-Middle útok. Ide o formu kyberútoku, pri ktorom sa hacker dostáva do komunikácie medzi vašim zariadením a serverom na ktorý sa pripája. Získa tak prehľad o všetkom čo na stránke robíte.

Problém netvorí len nezabezpečená stránka. Samotný firmware neuplatňuje žiadnu formu cryptografického overenia. Stiahnutý a predinštalovaný softvér Gigabyte má vlastnú formu cryptografického podpisu, ktorá vyhovuje požiadavkám Windowsu, no toto šifrovanie nie je proti hackerom efektívne. Znamená to, že útočník môže pomocou rôznych útokov napádať zariadenia Gigabyte.

Slabina môže ohroziť nielen spoločnosti, ale aj všetkých užívateľov so zariadeniami Gigabyte. Experti odporúčajú aktualizovať firmware a monitorovať ohrozené zariadenia. Prípadne môžu v UEFI/BIOS nastaveniach vypnúť funkciu sťahovania a inštalovania súborov aplikácie App Center, alebo zablokovať URL adresy, odkiaľ aplikácia dáta sťahuje.

Tými URL adresami sú:

  • http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
  • http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
  • http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4

Vedci z Eclypsium pokračujú v monitorovaní akýchkoľvek hrozieb, spojených s touto slabinou.

Prihláste sa k odberu správ z Vosveteit.sk cez Google správy
Tagy
Zobraziť komentáre
Close
Close