Siber güvenlik araştırmacıları, Gigabyte sistemlerinde “arka kapı benzeri davranış” buldular ve bunun, aygıtların UEFI ürün yazılımının bir Windows yürütülebilir dosyasını bırakmasına ve güncellemeleri güvenli olmayan bir biçimde almasına olanak sağladığını söylüyorlar.
Firmware güvenlik firması Eclypsium söz konusu anormalliği ilk olarak Nisan 2023’te tespit etti. Gigabyte o zamandan beri sorunu kabul etti ve sorunu ele aldı.
Eclypsium’da stratejiden sorumlu kıdemli başkan yardımcısı John Loucaides, The Hacker News’e “Gigabyte aygıt yazılımlarının çoğu, UEFI aygıt yazılımının içine gömülü bir Windows Native Binary yürütülebilir dosyası içerir” dedi.
“Algılanan Windows yürütülebilir dosyası diske bırakılır ve Windows başlatma işleminin bir parçası olarak yürütülür; LoJack çift ajan saldırısı. Bu yürütülebilir dosya daha sonra güvenli olmayan yöntemlerle ek ikili dosyaları indirir ve çalıştırır.”
Loucaides, “Yalnızca yazarın niyeti, bu tür bir güvenlik açığını kötü niyetli bir arka kapıdan ayırt edebilir,” diye ekledi.
Yürütülebilir dosya, Eclypsium’a göre, UEFI üretici yazılımına gömülür ve sistem önyükleme işleminin bir parçası olarak sabit yazılım tarafından diske yazılır ve ardından bir güncelleme hizmeti olarak başlatılır.
.NET tabanlı uygulama, kendi adına, Gigabyte güncelleme sunucularından bir yükü düz HTTP üzerinden indirip yürütecek ve böylece süreci güvenliği ihlal edilmiş bir yönlendirici aracılığıyla ortadaki düşman (AitM) saldırılarına maruz bırakacak şekilde yapılandırılmıştır.
Loucaides, yazılımın “bir amaç için tasarlanmış gibi göründüğünü” söyledi. yasal güncelleme uygulaması,” sorunun potansiyel olarak “etrafta 364 Gigabayt sistemler kabaca 7 milyon cihaz tahmini ile.”
Tehdit aktörleri sürekli olarak tespit edilmeden kalmanın ve minimum izinsiz giriş izi bırakmanın yollarını ararken, ayrıcalıklı üretici yazılımı güncelleme mekanizmasındaki güvenlik açıkları, işletim sistemi düzleminde çalışan tüm güvenlik kontrollerini alt üst edebilecek gizli ürün yazılımı implantlarının yolunu açabilir.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Daha da kötüsü, UEFI kodu anakartta bulunduğundan, sabit yazılıma enjekte edilen kötü amaçlı yazılım, sürücüler silinse ve işletim sistemi yeniden yüklense bile varlığını sürdürebilir.
Potansiyel riskleri en aza indirmek için kuruluşlara en son üretici yazılımı güncellemelerini uygulamaları önerilir. Ayrıca UEFI/BIOS Kurulumunda “APP Center Download & Install” özelliğini inceleyip devre dışı bırakmanız ve kötü amaçlı değişiklikleri engellemek için bir BIOS parolası belirlemeniz önerilir.
Loucaides, “Firmware güncellemelerinin, son kullanıcılar tarafından kötü bir şekilde düşük kabul görmesi var,” dedi. “Bu nedenle, aygıt yazılımındaki bir güncelleme uygulamasının yardımcı olabileceğini düşünmek kolay.”
“Ancak, bir yükü otomatik olarak indirmek ve çalıştırmak için ürün yazılımına yedeklenen, son derece güvensiz bir güncelleme uygulamasının ironisi kaybolmadı.”
