Pepperiet / Getty Images
Malware die zich verbergt in de UEFI-firmware van een computer, de diepe code die een computer vertelt hoe het besturingssysteem moet worden geladen, is een kwaadaardige truc geworden in de vermomde toolkit van hackers. Maar wanneer een fabrikant van moederborden zijn eigen verborgen achterdeur installeert in de firmware van miljoenen computers – en die verborgen achterdeur niet goed op slot zet – doen ze praktisch het werk van de hackers voor hen.
Onderzoekers van het op firmware gerichte cyberbeveiligingsbedrijf Eclypsium hebben vandaag onthuld dat ze een verborgen mechanisme hebben ontdekt in de firmware van moederborden die worden verkocht door de Taiwanese fabrikant Gigabyte, waarvan de componenten vaak worden gebruikt in gaming-pc’s en andere krachtige pc’s. Wanneer een computer met een getroffen Gigabyte-moederbord opnieuw wordt opgestart, ontdekt Eclypsium dat de code in de firmware van het moederbord onzichtbaar een updateprogramma op de computer start en op zijn beurt een ander downloadt en uitvoert.
Terwijl Eclypsium zegt dat de verborgen code bedoeld is als een onschadelijk hulpmiddel om de firmware van het moederbord up-to-date te houden, ontdekten de onderzoekers dat deze onveilig was geïmplementeerd, waardoor het mechanisme kon worden gekaapt en gebruikt om malware te installeren in plaats van de bedoelde Gigabyte-software. En aangezien de updater wordt uitgevoerd vanaf de firmware van de computer, buiten het besturingssysteem om, is het voor gebruikers moeilijk om deze te verwijderen of zelfs maar te detecteren.
zegt John Lucidis, die strategie en onderzoek leidt bij Eclypsium. “Het concept om onder de eindgebruiker te werken en hun apparaat over te nemen, past bij de meeste mensen niet goed.”
in dat Blogpost over onderzoekEclypsium somt 271 typische GIGABYTE-moederborden op waarvan de onderzoekers zeggen dat ze getroffen zijn. Loucaides voegt eraan toe dat gebruikers die willen weten welk moederbord een computer gebruikt, dit kunnen controleren door naar Windows Start en vervolgens naar Systeeminformatie te gaan.
Eclypsium zegt dat het het verborgen firmwaremechanisme van Gigabyte heeft gevonden tijdens het scannen van computers van klanten op op firmware gebaseerde kwaadaardige code, een steeds populairder wordende tool die wordt gebruikt door geavanceerde hackers. In 2018 werden bijvoorbeeld hackers die namens de Russische militaire inlichtingendienst GRU werkten, betrapt op het in stilte installeren van Op firmware gebaseerde antidiefstalsoftware LoJack op de apparaten van slachtoffers als spionagetactiek. Chinese door de staat gesponsorde hackers werden twee jaar later opgemerkt Hergebruik een op firmware gebaseerde spywaretool Gemaakt door het hacking-for-hire bedrijf Hacking Team om de computers van diplomaten en NGO-personeel in Afrika, Azië en Europa aan te vallen. De Eclypsium-onderzoekers waren verrast om geautomatiseerde scans te zien die het updatemechanisme van Gigabyte onthulden om duister gedrag uit te voeren, zoals door de staat gesponsorde hacktools – verstopt in firmware en het installeren van software die geruisloos code van internet downloadt.
Alleen al de Gigabyte-updater kan gebruikers hebben gealarmeerd die Gigabyte niet vertrouwen om geruisloos code op hun apparaten te installeren met behulp van een bijna onzichtbare tool – of die vrezen dat het Gigabyte-mechanisme kan worden misbruikt door hackers die de moederbordfabrikant binnendringen om de verborgen toegang in een Software supply chain-aanval. Maar Eclypsium ontdekte ook dat het updatemechanisme was geïmplementeerd met flagrante beveiligingslekken waardoor het kon worden gecompromitteerd: het downloadt code naar de computer van een gebruiker zonder deze correct te authenticeren, soms zelfs via een onbeveiligde HTTP-verbinding, in plaats van HTTPS. Hierdoor zou de installatiebron kunnen worden omzeild door een man-in-the-middle-aanval die wordt uitgevoerd door iedereen die de internetverbinding van de gebruiker kan onderscheppen, zoals een vervalst Wi-Fi-netwerk.
In andere gevallen is de updater die door het mechanisme wordt geïnstalleerd, geconfigureerd in de firmware van Gigabyte om te worden gedownload van een lokaal NAS-apparaat (Network Attached Storage), een functie die lijkt te zijn ontworpen voor zakelijke netwerken om updates te beheren zonder dat al hun machines toegang hebben tot internet. Maar Eclypsium waarschuwt dat in deze gevallen een kwaadwillende actor op hetzelfde netwerk zich zou kunnen voordoen als de NAS om in plaats daarvan onzichtbaar zijn eigen malware te installeren.
Eclypsium zegt dat het samenwerkt met Gigabyte om zijn bevindingen bekend te maken aan de fabrikant van het moederbord en dat Gigabyte heeft gezegd dat het van plan is de problemen op te lossen. Gigabyte reageerde niet op de meerdere verzoeken van WIRED om commentaar op de Eclypsium-resultaten.
Zelfs als Gigabyte zijn eigen firmwareprobleem oplost – het probleem komt tenslotte voort uit een Gigabyte-tool die bedoeld is om firmware-updates te automatiseren – wijst Loucaides van Eclypsium erop dat firmware-updates vaak Stil afbreken op de computers van gebruikers, in veel gevallen vanwege de complexiteit en moeilijkheid om firmware en hardware op elkaar af te stemmen. “Ik denk nog steeds dat dit de komende jaren een vrij algemeen probleem zal worden op GIGABYTE-moederborden”, zegt Lukaides.
Gezien de miljoenen mogelijk getroffen apparaten, is de ontdekking van Eclypsium “alarmerend”, zegt Rich Smith, chief security officer bij de op de toeleveringsketen gerichte cyberbeveiligingsstartup Crash Override. Smith publiceerde een zoektocht naar kwetsbaarheden in de firmware en bekeek de resultaten voor Eclypsium. Hij vergelijkt de situatie met het Sony-rootkitschandaal halverwege de jaren 2000. Sony verborg de DRM-code op cd’s die onzichtbaar op de computers van gebruikers waren geïnstalleerd, waardoor een kwetsbaarheid ontstond die hackers gebruikten om hun malware te verbergen. “Je kunt technieken gebruiken die traditioneel door kwaadwillenden worden gebruikt, maar dat was niet acceptabel, dat ging te ver”, zegt Smith. “Ik kan niet zeggen waarom Gigabyte deze methode heeft gekozen om zijn software te leveren. Maar voor mij voelt dit als het overschrijden van een vergelijkbare grens in de firmwareruimte.”
Smith erkent dat Gigabyte mogelijk geen kwaadaardige of misleidende bedoelingen had met de verborgen firmwaretool. Maar door de kwetsbaarheden achter te laten in de onzichtbare code die zich onder het besturingssysteem van veel computers bevindt, tasten ze niettemin een essentiële laag van het vertrouwen van gebruikers in hun hardware aan. “Er is hier geen intentie, alleen vuil. Maar ik wil niet dat iemand mijn firmware vuil schrijft”, zegt Smith. “Als je je firmware niet vertrouwt, bouw je je huis in het zand.”
Dit verhaal is oorspronkelijk verschenen bedraad. com.
“Subtiel charmante tv-maven. Unapologetische communicator. Onruststoker. Reiswetenschapper. Wannabe-denker. Muziekfanaat. Amateur-ontdekkingsreiziger.”