韌體安全公司 Eclypsium 表示,技嘉主機板中的更新過程可能會忽略驗證下載是否來自官方的來源
韌體安全服務提供商 Eclypsium的研究人員在超過200款技嘉主機板主中發現了類似後門的功能,進一步分析表明,技嘉系統中的韌體在系統啟動過程中會投下並執行Windows本機執行檔。執行檔用於不安全下載和執行其他有效負載。專家指出,這與其他OEM類似後門的功能(如Computrace後門(又名LoJack DoubleAgent)和韌體植入物(如Sednit LoJax,MosaicRegressor,Vector-EDK)觀察到的行為相同。
Eclypsium分析這個後門似乎正在實施有意的功能,需要韌體更新才能將其從受影響的系統中完全刪除,並表示雖然我們正在進行的調查尚未證實特定攻擊者的利用,但一個活躍的、廣泛存在的、難以移除的後門給擁有技嘉系統的組織帶來了供應鏈風險。
Eclypsium 表示, 它於 2023 年 4 月首次檢測到該異常情況,在分析受影響的 UEFI韌體後,研究人員確定了一個名為8ccbee6f7858ac6b92ce23594c9e2563ebcef59414b5ac13ebebde0c715971b2.bin的檔案,這是一個 Windows 原生二進制執行檔,Windows 執行檔駐留在 UEFI韌體卷中。
韌體在系統啟動過程中將執行檔案寫入磁盤,這種技術通常被 UEFI 植入程式和後門程式採用。
該執行檔案可用於執行惡意活動,例如下載和執行其他有效負載。
Windows 可執行檔案是一個 .NET 應用程式,它根據其配置從以下位置之一下載並運行可執行負載:
http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
https://software-nas/Swhttp/LiveUpdate4
專家指出,使用 HTTP 為中間人攻擊打開了大門,研究人員還注意到,即使使用 HTTPS 協議,遠端伺服器憑證的驗證也未能正確實作,在這種情況下也允許 MITM 攻擊,使情況更加複雜的是,韌體不支援執行檔案的數位簽名驗證。
“投下的執行檔案和正常下載的技嘉工具確實具有滿足 Microsoft Windows 程式簽名要求的技嘉加密簽名,但這對抵消惡意使用幾乎沒有作用,尤其是在使用離地生存技術(如在最近關於Volt Typhoon攻擊者的警報中 )因此任何攻擊者都可以利用它通過 MITM 或受損的基礎設施持續感染易受攻擊的系統,類似後門的行為可能會影響超過三百個 Gigabyte 系統。
這些問題使組織面臨範圍廣泛的攻擊場景:
*攻擊者濫用 OEM 後門。
*OEM 更新基礎設施和供應鏈的妥協
*使用 UEFI Rootkit 和植入程式的持久性
*MITM 攻擊韌體和軟體更新功能
*由於官方韌體中的不良行為而持續存在風險
Eclypsium建議採取以下措施將風險降至最低:
*掃描和監控系統和韌體更新
*將系統更新到經過驗證的最新韌體和軟體。
*檢查並禁用技嘉系統上 UEFI/BIOS 設置中的App Center下載和安裝功能,並設置 BIOS 密碼以阻止惡意更改
*阻止上述網站加入封鎖名單
6 月 1 日, 技嘉更新:已發布修復程式以解決主機板漏洞,並表示其程師在對技嘉主機板的新BIOS進行全面測試和驗證後,已經降低了潛在風險,並將Intel 700/600和AMD 500/400系列Beta BIOS上傳至官網。