Ürün yazılımı konusunda uzmanlaşmış bir siber güvenlik firması olan Eclypsium, keşfetti Birkaç Gigabyte anakartında sisteminize kötü amaçlı yazılım yüklenmesine yol açabilecek gizli bir arka kapı.
Birkaç Gigabyte Anakart, Güvenlik Açıklarına Yol Açabilecek Kötü Amaçlı Bir Arka Kapı İle Birlikte Gelir
Ürün yazılımı, sistemin başlatılması sırasında, gerekirse internete bağlanan ve ana kart için ürün yazılımının en son sürümünü indiren bir güncelleme yazılımını başlatan kod içerir. Eclypsium, Gigabyte uygulamasının tehlikeli olduğunu ve bilgisayar korsanlarının bu güvenlik açığını kurbanın bilgisayarına kötü amaçlı yazılım bulaştırmak için kullanabileceğini belirtti. Anakartın ürün yazılımında olduğu için güncelleyiciyi ortadan kaldırmak burada bir seçenek değildir.
Kusur, UEFI üretici yazılımını güncellemeye çalışan bir Windows başlangıç programında tespit edildi. Bu yürütülebilir dosya, yazılımı güvenli olmayan bir Gigabyte sunucusundan indirdi ve uygun kimlik doğrulaması olmadan kurdu. Araştırma blog gönderisine göre, bu güvenlik açığı bilgisayar korsanlarının OEM arka kapısından yararlanarak implantlar gibi kötü amaçlı yazılımları doğrudan bir kullanıcının bilgisayarına veya Gigabyte sunucusuna sızarak yüklemesine izin verebilir.
Eclypsium’a göre güncelleyici, gerekli kimlik doğrulaması olmadan kodu kullanıcının bilgisayarına indirir. Herhangi bir ek doğrulama tekniği veya kriptografik dijital imza doğrulaması kullanmaz. Sonuç olarak, web bağlantıları Ortadaki Makine (MITM) saldırılarına eğilimlidir ve Gigabyte’ın sunucusuyla veri aktarımını tehlikeye atar.
Eclypsium, güncelleyicinin yalnızca İnternet’e değil, aynı zamanda sahtekarlık saldırılarına yol açabilecek ürün yazılımı güncellemeleri için yerel bir NAS (Ağa Bağlı Depolama) cihazına da erişebildiğini tespit etti. Firmanın araştırması, Gigabyte güncelleyici uygulamasının ürün yazılımı güncellemeleri için üç ayrı web sitesiyle etkileşime girdiğini ortaya koyuyor:
- http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://software-nas/Swhttp/LiveUpdate4
Firma ayrıca etkilenen modellerin kapsamlı bir listesinden de bahsetti. Liste 271 adede kadar Gigabyte anakart içerir. AMD-400 serisi gibi daha eski modeller geniş ölçüde etkilenir; ancak, sorun daha yeni AMD-600 serisi ve Intel-700 serisi modellerde ortaya çıkmış gibi görünmüyor.
Bu sorun hakkında endişeleniyorsanız, endişelenmemelisiniz çünkü Gigabyte arkanızı kolluyor. Şirket, doğrulama sürecini güçlendirmek için yeni bir BIOS güncellemesi yayınladı. İşte şirketin yaptığı değişiklik:
- İmza Doğrulaması: GIGABYTE, uzak sunuculardan indirilen dosyalar için doğrulama sürecini desteklemiştir. Bu gelişmiş doğrulama, saldırganların kötü amaçlı kod ekleme girişimlerini reddederek içeriğin bütünlüğünü ve meşruiyetini sağlar.
- Ayrıcalık Erişimi Sınırlamaları: GIGABYTE, uzak sunucu sertifikalarının standart kriptografik doğrulamasını etkinleştirmiştir. Bu, dosyaların yalnızca geçerli ve güvenilir sertifikalara sahip sunuculardan indirilmesini garanti ederek ek bir koruma katmanı sağlar.
Gigabyte, BIOS güncellemesinin arka kapı sorununu gidermek için olduğundan bahsetmese de, değişiklikler Gigabyte’ın sorunu fark ettiğini ima ediyor. Gigabyte ayrıca Intel 500/400 ve AMD 600 serisi gibi daha eski anakartlar için BIOS güncellemesini yayınladı ve böylece tüketici tabanının çoğunu kapsıyor.
Anında sonuç almak istiyorsanız, Gigabyte BIOS güncellemesinin yanı sıra Eclypsium bazı geçici düzeltmeler sağladı. Firma, kullanıcıların güncellemelerin otomatik olarak yüklenmesini önlemek için anakartın ürün yazılımı içindeki “APP Center İndirme ve Kur” özelliğini devre dışı bırakmasını önerir. Kullanıcılar, istenmeyen etkinlikleri durdurmak amacıyla ekstra güvenlik için BIOS düzeyinde bir parola ayarlayabilir. Güncelleyicinizin bunlara erişmesini önlemek için yukarıda belirtilen üç web sitesini de engelleyebilirsiniz.