Η GIGABYTE κυκλοφόρησε ενημερώσεις υλικολογισμικού για να διορθώσει ευπάθειες ασφαλείας σε περισσότερες από 270 μητρικές πλακέτες που θα μπορούσαν να χρησιμοποιηθούν για την εγκατάσταση κακόβουλου λογισμικού.
Οι ενημερώσεις υλικολογισμικού κυκλοφόρησαν την περασμένη Πέμπτη ως απάντηση σε μια αναφορά της εταιρείας ασφάλειας υλικού Eclypsium, η οποία βρήκε ελαττώματα σε μια νόμιμη λειτουργία της GIGABYTE που χρησιμοποιείται για την εγκατάσταση μιας εφαρμογής αυτόματης ενημέρωσης λογισμικού στα Windows.
Τα Windows περιλαμβάνουν μια δυνατότητα που ονομάζεται Windows Platform Binary Table (WPBT) που επιτρέπει στους προγραμματιστές υλικολογισμικού να εξαγάγουν αυτόματα ένα εκτελέσιμο αρχείο από την εικόνα υλικολογισμικού και να το εκτελέσουν στο λειτουργικό σύστημα.
“Το WPBT επιτρέπει σε προμηθευτές και OEM να εκτελούν ένα .exe πρόγραμμα στο επίπεδο UEFI. Κάθε φορά που εκκινούνται τα Windows, κοιτάζει το UEFI και εκτελεί το .exe. Χρησιμοποιείται για την εκτέλεση προγραμμάτων που δεν περιλαμβάνονται στα μέσα των Windows.” εξηγεί η Microsoft.
Οι μητρικές της GIGABYTE χρησιμοποιούν τη δυνατότητα WPBT για την αυτόματη εγκατάσταση μιας εφαρμογής αυτόματης ενημέρωσης στο ‘%SystemRoot%\system32\GigabyteUpdateService.exe' σε νέες εγκαταστάσεις των Windows.
Ενώ είναι ενεργοποιημένη από προεπιλογή, αυτή η δυνατότητα μπορεί να απενεργοποιηθεί στις ρυθμίσεις BIOS κάτω από το Περιφερειακά καρτέλα > Λήψη και εγκατάσταση του APP Center Διαμόρφωση επιλογή διαμόρφωσης.
Ωστόσο, το Eclypsium ανακάλυψε διάφορα ελαττώματα ασφαλείας σε αυτή τη διαδικασία που οι εισβολείς θα μπορούσαν δυνητικά να εκμεταλλευτούν για να παραδώσουν κακόβουλο λογισμικό σε επιθέσεις man-in-the-middle (MiTM).
Το Eclypsium διαπίστωσε ότι όταν το υλικολογισμικό πέσει και εκτελέσει το GIGABYTEUpdateService.exe, το εκτελέσιμο αρχείο θα συνδεθεί σε μία από τις τρεις διευθύνσεις URL της GIGABYTE για λήψη και εγκατάσταση της πιο πρόσφατης έκδοσης του λογισμικού αυτόματης ενημέρωσης.
Το πρόβλημα είναι ότι δύο από τις διευθύνσεις URL που χρησιμοποιούνται για τη λήψη του λογισμικού χρησιμοποιούν μη ασφαλείς συνδέσεις HTTP, οι οποίες μπορούν να παραβιαστούν σε επιθέσεις MiTM για την εγκατάσταση κακόβουλου λογισμικού.
Επιπλέον, οι ερευνητές ανακάλυψαν ότι η GIGABYTE δεν πραγματοποίησε καμία επαλήθευση υπογραφής για τα ληφθέντα αρχεία, κάτι που θα μπορούσε να αποτρέψει την εγκατάσταση κακόβουλων ή παραποιημένων αρχείων.
Σε απάντηση, η GIGABYTE έχει τώρα κυκλοφόρησε ενημερώσεις υλικολογισμικού για τις μητρικές της σειράς Intel 400/500/600/700 και AMD 400/500/600 για την επίλυση αυτών των προβλημάτων.
“Για να ενισχύσει την ασφάλεια του συστήματος, η GIGABYTE έχει εφαρμόσει αυστηρότερους ελέγχους ασφαλείας κατά τη διαδικασία εκκίνησης του λειτουργικού συστήματος. Αυτά τα μέτρα έχουν σχεδιαστεί για να ανιχνεύουν και να αποτρέπουν πιθανές κακόβουλες δραστηριότητες, παρέχοντας στους χρήστες βελτιωμένη προστασία:
1. Επαλήθευση υπογραφής: Η GIGABYTE έχει ενισχύσει τη διαδικασία επικύρωσης για αρχεία που λαμβάνονται από απομακρυσμένους διακομιστές. Αυτή η βελτιωμένη επαλήθευση διασφαλίζει την ακεραιότητα και τη νομιμότητα των περιεχομένων, αποτρέποντας τυχόν προσπάθειες εισβολέων κακόβουλου κώδικα.
2. Περιορισμοί πρόσβασης προνομίων: Η GIGABYTE έχει ενεργοποιήσει την τυπική κρυπτογραφική επαλήθευση των πιστοποιητικών απομακρυσμένου διακομιστή. Αυτό εγγυάται ότι τα αρχεία λαμβάνονται αποκλειστικά από διακομιστές με έγκυρα και αξιόπιστα πιστοποιητικά, διασφαλίζοντας ένα πρόσθετο επίπεδο προστασίας.” – GIGABYTE.
Αν και οι κίνδυνοι από αυτά τα τρωτά σημεία είναι πιθανώς χαμηλοί, συνιστάται σε όλους τους χρήστες μητρικών πλακών της GIGABYTE να εγκαταστήσουν τις πιο πρόσφατες ενημερώσεις υλικολογισμικού για να επωφεληθούν από τις επιδιορθώσεις ασφαλείας.
Επιπλέον, εάν θέλετε να καταργήσετε την εφαρμογή αυτόματης ενημέρωσης της GIGABYTE, θα πρέπει πρώτα να απενεργοποιήσετε τη «Διαμόρφωση λήψης και εγκατάστασης του Κέντρου εφαρμογής» ρύθμιση στο BIOS και, στη συνέχεια, απεγκαταστήστε το λογισμικό στα Windows.
