Ngày 31 tháng 5 năm 2023Ravie Lakshmanan Bảo mật phần sụn / Lỗ hổng bảo mật
Các nhà nghiên cứu an ninh mạng đã tìm thấy “hành vi giống như cửa hậu” trong các hệ thống Gigabyte, theo họ cho phép phần sụn UEFI của thiết bị loại bỏ tệp thực thi Windows và truy xuất các bản cập nhật ở định dạng không an toàn.
Công ty bảo mật phần sụn Eclypsium cho biết họ phát hiện ra điểm bất thường lần đầu tiên vào tháng 4 năm 2023. Kể từ đó, Gigabyte đã thừa nhận và giải quyết vấn đề.
John Loucaides, phó chủ tịch cấp cao về chiến lược tại Eclypsium, nói với The Hacker News: “Hầu hết các chương trình cơ sở của Gigabyte đều bao gồm tệp thực thi Windows Native Binary được nhúng bên trong chương trình cơ sở của UEFI.
“Tệp thực thi Windows được phát hiện sẽ được đưa vào đĩa và được thực thi như một phần của quy trình khởi động Windows, tương tự như cuộc tấn công tác nhân kép LoJack. Sau đó, tệp thực thi này sẽ tải xuống và chạy các tệp nhị phân bổ sung thông qua các phương pháp không an toàn.”
“Chỉ có ý định của tác giả mới có thể phân biệt loại lỗ hổng này với một cửa hậu độc hại,” Loucaides nói thêm.
Tệp thực thi, theo Eclypsium, được nhúng vào chương trình cơ sở UEFI và được chương trình cơ sở ghi vào đĩa như một phần của quy trình khởi động hệ thống và sau đó được khởi chạy dưới dạng dịch vụ cập nhật.
Về phần mình, ứng dụng dựa trên .NET được định cấu hình để tải xuống và thực thi tải trọng từ máy chủ cập nhật Gigabyte qua HTTP đơn giản, do đó khiến quá trình này bị tấn công bởi kẻ trung gian (AitM) thông qua bộ định tuyến bị xâm nhập.
Loucaides cho biết phần mềm “dường như được dự định là một ứng dụng cập nhật hợp pháp”, lưu ý rằng vấn đề có khả năng ảnh hưởng đến “khoảng 364 hệ thống Gigabyte với ước tính sơ bộ là 7 triệu thiết bị.”
Với việc các tác nhân đe dọa liên tục tìm cách để không bị phát hiện và để lại dấu vết xâm nhập tối thiểu, các lỗ hổng trong cơ chế cập nhật chương trình cơ sở đặc quyền có thể mở đường cho các bộ khởi động và bộ cấy UEFI tàng hình có thể phá vỡ tất cả các biện pháp kiểm soát bảo mật đang chạy trong mặt phẳng hệ điều hành.
HỘI THẢO TRỰC TUYẾN SẮP TỚI
Zero Trust + Lừa đảo: Học cách qua mặt những kẻ tấn công!
Khám phá cách Deception có thể phát hiện các mối đe dọa nâng cao, ngăn chặn chuyển động ngang và nâng cao chiến lược Zero Trust của bạn. Tham gia hội thảo trên web sâu sắc của chúng tôi!
Giữ chỗ ngồi của tôi!
Tệ hơn nữa, vì mã UEFI nằm trên bo mạch chủ, phần mềm độc hại được đưa vào chương trình cơ sở có thể tồn tại ngay cả khi ổ đĩa bị xóa và hệ điều hành được cài đặt lại.
Các tổ chức nên áp dụng các bản cập nhật chương trình cơ sở mới nhất để giảm thiểu rủi ro tiềm ẩn. Bạn cũng nên kiểm tra và tắt tính năng “Tải xuống và cài đặt trung tâm ứng dụng” trong Thiết lập UEFI/BIOS và đặt mật khẩu BIOS để ngăn chặn các thay đổi độc hại.
Loucaides cho biết: “Các bản cập nhật chương trình cơ sở nổi tiếng là có mức độ hấp thụ thấp với người dùng cuối. “Do đó, thật dễ hiểu khi nghĩ rằng một ứng dụng cập nhật trong chương trình cơ sở có thể hữu ích.”
“Tuy nhiên, điều trớ trêu là một ứng dụng cập nhật không an toàn cao, được sao lưu vào phần sụn để tự động tải xuống và chạy tải trọng, lại không bị mất.”
