Siber güvenlik firması eklipsyum Gigabyte’ın donanım yazılımında 271 farklı anakartı riske atan bir arka kapı keşfetti. Güvenlik açığı, Gigabyte’ın ana kart belleniminin her zaman güncel olmasını sağlamak için kullandığı küçük bir güncelleyici programında bulunuyor. Görünüşe göre, bunu güvenli olmayan bir uygulama aracılığıyla yapıyor.
Temiz bir Windows kurulumundan sonra, sizin için en son sürücüyü veya üretici yazılımını indirmeyi teklif eden bir programın açıldığını hiç fark ettiniz mi? Ne yazık ki, bu küçük kod parçası suçlular için bir arka kapı sağlayabilir.
Sistem her yeniden başlatıldığında, üretici yazılımı içindeki bir kod parçası, ana kart için en son üretici yazılımını kontrol etmek ve indirmek üzere İnternet’e bağlanan bir güncelleyici programı başlatır. Eclypsium, Gigabyte uygulamasının güvenli olmadığını ve siber suçluların bu açığı kurbanın sistemine kötü amaçlı yazılım yüklemek için kullanabileceğini değerlendirdi. En büyük sorun, güncelleyici programın anakartın ürün yazılımı içinde yer almasıdır, bu nedenle tüketiciler onu kolayca kaldıramaz.
Ürün yazılımı güncellemelerini kolaylaştırmak için bu tür programları kullanan tek satıcı Gigabyte değildir. Diğer anakart üreticileri de benzer bir yöntem kullanarak, herhangi birinin güvenli olup olmadığı sorusunu gündeme getiriyor. Örneğin, Asus’un Armory Crate yazılımı, Gigabyte’ın Uygulama Merkezine benzer şekilde çalışır. Eclypsium’un bulgularına göre Gigabyte’ın güncelleyici programı, donanım yazılımı güncellemeleri için üç farklı siteye ping atıyor:
- http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://software-nas/Swhttp/LiveUpdate4
Eclypsium, güncelleyicinin kodu kullanıcının sistemine uygun kimlik doğrulaması olmadan indirdiğini değerlendirdi. Herhangi bir kriptografik dijital imza doğrulaması veya diğer doğrulama yöntemleri kullanmaz. Sonuç olarak, HTTP ve HTTPS bağlantıları Ortadaki Makine (MITM) saldırılarına karşı savunmasızdır ve ilki ikincisinden daha fazladır. Eclypsium, internete bağlanmanın yanı sıra, güncelleyicinin yerel ağdaki bir NAS cihazından ürün yazılımı güncellemelerini indirebileceğini de ortaya çıkardı. Kötü niyetli bir aktör benzer şekilde NAS’ı taklit edebilir ve kurbana casus yazılım bulaştırabilir.
Güncelleyici, Gigabyte anakartlar arasında standart bir araçtır. Eclypsium kapsamlı bir araya getirdi etkilenen modellerin listesi. Listede hem Intel hem de AMD anakartlardan oluşan 271’e kadar anakart var. Bazı modellerin geçmişi AMD 400 serisi yonga setlerine dayanmaktadır. Yani en yeni Intel 700 serisi veya AMD 600 serisi anakartlar bile güvenli değil.
Eclypsium, keşiflerini Gigabyte ile zaten paylaştı ve anakart satıcısı güvenlik açığını giderecek bir çözüm üzerinde çalışıyor. İronik bir şekilde, çözüm büyük olasılıkla güncellenmiş bellenimde gelecektir. Bu arada, Gigabyte anakart sahipleri sistemlerini korumak için bazı önlemler alabilirler.
Eclypsium, kullanıcıların anakartın ürün yazılımı içindeki “APP Center İndirme ve Yükleme” özelliğini devre dışı bırakmasını önerir. Seçenek, güncelleyiciyi başlatan şeydir. İyi bir önlem olarak, kullanıcılar istenmeyen, kötü amaçlı etkinlikleri önlemek için BIOS düzeyinde bir parola uygulayabilir. Son olarak, kullanıcılar güncelleyicinin iletişim kurduğu üç siteyi engelleyebilir.