Millionen von PC-Motherboards mit Firmware-Hintertür verkauft – Ars Technica

Das Verstecken schädlicher Programme in der UEFI-Firmware eines Computers, dem Deep-Code, der einem PC sagt, wie er sein Betriebssystem laden soll, ist zu einem heimtückischen Trick im Werkzeugkasten heimlicher Hacker geworden. Aber wenn ein Motherboard-Hersteller seine eigene versteckte Hintertür in die Firmware von Millionen von Computern einbaut – und diese versteckte Hintertür nicht einmal richtig sperrt – erledigt er praktisch die Arbeit der Hacker für sich.

Forscher des auf Firmware spezialisierten Cybersicherheitsunternehmens Eclypsium gaben heute bekannt, dass sie einen versteckten Mechanismus in der Firmware von Motherboards des taiwanesischen Herstellers Gigabyte entdeckt haben, dessen Komponenten häufig in Gaming-PCs und anderen Hochleistungscomputern verwendet werden. Immer wenn ein Computer mit einem infizierten Gigabyte-Motherboard neu startet, startet laut Eclipse ein Code in der Firmware des Motherboards unsichtbar ein Updater-Programm, das auf dem Computer ausgeführt wird, der wiederum eine andere Software herunterlädt und ausführt.

Obwohl Eclipse behauptet, der versteckte Code sei ein harmloses Tool, das die Firmware des Motherboards aktualisiert, stellten die Forscher fest, dass er unsicher implementiert ist, sodass Malware den Installationsmechanismus anstelle des von Gigabyte vorgesehenen Programms kapern kann. Und da das Updater-Programm von der Firmware des Computers außerhalb seines Betriebssystems ausgelöst wird, ist es für Benutzer schwierig, es zu entfernen oder zu finden.

„Wenn Sie eine dieser Maschinen haben, müssen Sie sich Sorgen machen, dass sie sich etwas aus dem Internet schnappt und es ohne Ihr Zutun ausführt und nichts davon sicher macht“, sagt John Lucastes, der die Strategie leitet. und Forschung über die Sonnenfinsternis. „Die Idee, sich unter den Endverbraucher zu stellen und ihm seine Maschine zu nehmen, gefällt den meisten Menschen nicht.“

darin Ein Blogbeitrag über Forschunglistet 271 Modelle von Eclipse-Gigabyte-Motherboards auf, von denen Forscher sagen, dass sie betroffen sind. Loucaides fügt hinzu, dass Benutzer, die sehen möchten, welches Motherboard ihr Computer verwendet, dies überprüfen können, indem sie in Windows auf „Start“ und dann auf „Systeminformationen“ gehen.

Eclipse gab an, den versteckten Firmware-Mechanismus von Gigabyte entdeckt zu haben, als es die Computer von Kunden nach Firmware-basiertem Schadcode durchsuchte, einem häufigen Tool, das von raffinierten Hackern verwendet wird. Im Jahr 2018 entdeckten Hacker im Auftrag des russischen Militärgeheimdienstes GRU die stille Installation. LoJack ist ein Firmware-basierter Anti-Diebstahl-Software-Trick, mit dem die Computer der Opfer ausgespioniert werden können. Zwei Jahre später wurden staatlich geförderte chinesische Hacker entdeckt Erstellt das Firmware-basierte Spyware-Tool neu Das Hacker-Mietunternehmen Hacking Team wurde gegründet, um die Computer von Diplomaten und NGO-Mitarbeitern in Afrika, Asien und Europa ins Visier zu nehmen. Die Forscher von Eclypsium waren von ihren automatisierten Erkennungsscans verblüfft. Dies weist darauf hin, dass Gigabytes Aktualisierungsmechanismus dubiose Verhaltensweisen an den Tag legt, beispielsweise staatlich geförderte Hacking-Tools – die stille Installation eines Programms, das sich in der Firmware versteckt und Code aus dem Internet herunterlädt.

Allein das Update von Gigabyte ließ Bedenken aufkommen, dass Benutzer, die Gigabyte nicht vertrauten, den Code mit einem nahezu unsichtbaren Tool stillschweigend auf ihren PCs installieren könnten – oder dass Hacker den Mechanismus von Gigabyte nutzen könnten, um den Motherboard-Hersteller zu kompromittieren und seinen versteckten Zugriff auszunutzen. A Angriff auf die Software-Lieferkette. Eclipse stellte jedoch fest, dass der Update-Mechanismus mit einer Reihe von Schwachstellen ausgestattet war, die es ermöglichen könnten, ihn zu kapern: Es lädt Code ohne ordnungsgemäße Authentifizierung auf den Computer eines Benutzers herunter, manchmal über eine HTTP-Verbindung, die weniger sicher als HTTPS ist. Dies würde es ermöglichen, die Installationsquelle durch einen Man-in-the-Middle-Angriff zu fälschen, der von jedem ausgeführt wird, der die Internetverbindung des Benutzers abfangen könnte, beispielsweise ein betrügerisches Wi-Fi-Netzwerk.

In anderen Fällen ist der durch den Mechanismus in der Firmware von Gigabyte installierte Updater so konfiguriert, dass er von einem lokalen NAS-Gerät (Network Attached Storage) heruntergeladen werden kann, das für Unternehmensnetzwerke konzipiert ist, um Updates zu verwalten, ohne alle ihre Maschinen zu erreichen. in das Internet. Aber in diesen Fällen, warnt Eclipse, könnte ein böswilliger Akteur im selben Netzwerk den Standort des NAS fälschen und unsichtbar seine eigene Malware installieren.

Eclipse sagt, dass es mit Gigabyte zusammenarbeitet, um seine Ergebnisse dem Motherboard-Hersteller zu melden, und dass Gigabyte plant, das Problem zu beheben. Gigabyte antwortete nicht auf mehrere Anfragen von WIRED bezüglich der Ergebnisse von Eclypsium.

Obwohl Gigabyte eine Lösung für sein Firmware-Problem angeboten hat – schließlich liegt das Problem an Gigabytes Tool, das Firmware-Updates automatisiert – deuten die Leaks von Eclipse oft auf Firmware-Updates hin. Stilles Herunterfahren der Computer der BenutzerDies liegt in vielen Fällen an ihrer Komplexität und der Schwierigkeit, Firmware und Hardware aufeinander abzustimmen. „Ich denke immer noch, dass dies in den kommenden Jahren ein weit verbreitetes Problem bei Gigabyte-Boards sein wird“, sagt Lukatz.

Angesichts der Millionen anfälliger Geräte sei die Entdeckung von Eclypsium „beunruhigend“, sagt Rich Smith, Chief Security Officer beim auf Lieferketten spezialisierten Cybersicherheits-Startup Crash Override. Smith veröffentlichte Untersuchungen zu Firmware-Schwachstellen und überprüfte die Ergebnisse von Eclipse. Er vergleicht die Situation mit dem Sony-Rootkit-Skandal Mitte der 2000er Jahre. Sony versteckte Code zur Verwaltung digitaler Rechte auf CDs, der sich unsichtbar auf den Computern der Benutzer installierte, und schuf so eine Schwachstelle, die Hacker nutzten, um ihre Malware zu verbergen. „Man kann Techniken verwenden, die traditionell von böswilligen Akteuren verwendet werden, aber das ist nicht akzeptabel, das ist tabu“, sagt Smith. „Ich kann nicht erklären, warum Gigabyte diese Methode zur Bereitstellung seiner Software gewählt hat. Aber für mich kommt es mir so vor, als ob im Firmware-Bereich eine ähnliche Grenze überschritten wird.

Smith räumt ein, dass Gigabyte mit seinem versteckten Firmware-Tool keine böswilligen oder betrügerischen Absichten verfolgte. Indem es jedoch Sicherheitslücken im unsichtbaren Code hinterlässt, der den Betriebssystemen vieler Computer zugrunde liegt, untergräbt es eine grundlegende Vertrauensschicht, die Benutzer ihren Computern entgegenbringen. „Hier gibt es keine Absicht, nur Nachlässigkeit. Aber ich möchte meine Firmware nicht schlampig schreiben“, sagt Smith. „Wenn Sie kein Vertrauen in Ihre Firmware haben, bauen Sie Ihr Haus auf Sand.“

Diese Geschichte erschien zuerst Wire.com.