FAQ Möglicherweise haben Sie einige Schlagzeilen über eine Hintertür in der Lieferkette in Millionen von Gigabyte-Motherboards gesehen. Hier sind die Fakten.
Was ist das Problem?
Gigabyte liefert eine Vielzahl von Motherboard-Modellen aus, die mit einem App Center-Dienstprogramm ausgestattet sind, das die Firmware, Treiber und zugehörige Software des Systems auf dem neuesten Stand halten soll. Es sucht nach Updates und bietet an, diese abzurufen und zu installieren, sodass Benutzer dies nicht manuell tun oder tief in ihre BIOS-Einstellungen eindringen müssen. Das Problem ist, dass die Art und Weise, wie Gigabyte dies implementiert hat, die Menschen potenziell einem Infektionsrisiko aussetzt.
Wie so?
Die UEFI-Firmware, die Gigabyte mit seinen Motherboards ausliefert, führt beim Systemstart eine Reihe von Aktionen aus. Auf Windows-PCs umfasst dies das stille Schreiben eines in die Firmware eingebetteten Windows-Programms auf die Festplatte als GigabyteUpdateService.exe in den Betriebssystemen system32 Ordner und führen Sie ihn aus. Diese EXE-Datei richtet sich als Windows-Dienst ein, ruft dann eine andere ausführbare Datei aus dem Internet ab und führt sie aus. Es ruft das zweite Programm von einem dieser Orte ab:
hxxp://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4hxxps://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4hxxps://software-nas/Swhttp/LiveUpdate4
Der verwendete Speicherort hängt von der Konfiguration ab. Alles in allem scheint dies Teil des App Center-Mechanismus zum Erkennen und Anbieten von Systemaktualisierungen zur Installation zu sein. Vermutlich wird der abgerufene Code mit hohen Privilegien ausgeführt.
Wie kann das dazu führen, dass mein Windows-PC infiziert wird?
Nun, wenn jemand in der Lage wäre, diese Downloads abzufangen und den abgerufenen Code durch Schadprogramme zu ersetzen, würde er die Codeausführung auf dem Windows-Rechner des Opfers erreichen und ihn an sich reißen können. Ein solcher Angreifer könnte DNS-Spielereien nutzen, um Anfragen zu stellen mb.download.gigabyte.com werden auf einen bösartigen Server umgeleitet, der Malware anstelle einer legitimen ausführbaren Gigabyte-Datei verteilt.
Eine der URLs verwendet HTTP, was für einen geschickten Angreifer leicht abzufangen ist, und die anderen beiden verwenden HTTPS, allerdings ohne ordnungsgemäße Validierung des Remote-Server-Zertifikats, sodass es sich wiederum um einen Man-in-the-Middle-Angriff (MITM) handeln würde möglich. Jemand muss einige Anstrengungen unternehmen, um das durchzuziehen. Es ist nicht unmöglich, aber es gibt möglicherweise einfachere Möglichkeiten, jemanden zu infizieren.
Und ein Angreifer muss wahrscheinlich sicherstellen, dass das abgerufene Programm die Codesignaturanforderungen von Windows erfüllt. Ansonsten prüft die Firmware nicht, ob eine echte Binärdatei heruntergeladen wird. Alles in allem ist es nicht der sicherste Prozess und könnte zur Ausführung von Schadcode und der Bereitstellung von Spyware auf dem Computer eines ahnungslosen Fremden führen.
Oh. Wer hat diese Schwäche gefunden?
Forscher von Eclypsium, die hier Anfang dieser Woche einen technischen Hinweis dazu veröffentlicht haben. Um es klarzustellen: Sie fanden keine tatsächliche Malware oder Schurken, die dies missbrauchten, sondern nur das unerwartete Ablegen einer EXE-Datei im Dateisystem der UEFI-Firmware und deren Verbindungsversuche mit der Außenwelt.
Sie haben keine Beweise dafür gefunden, dass die Sicherheitslücke aktiv ausgenutzt wird, sondern nur, dass die Funktionsweise der Firmware von Gigabyte unsicher ist und potenziellen Eindringlingen das Leben ein wenig erleichtert.
Sie kamen zu dem Schluss: „Jeder Bedrohungsakteur kann dies nutzen, um anfällige Systeme entweder über MITM oder eine kompromittierte Infrastruktur dauerhaft zu infizieren.“
Was kann ich tun, um mich zu schützen?
Vorerst können Sie sicherstellen, dass die Download- und Installationsfunktion des App Centers ausgeschaltet ist, was verhindert, dass die Firmware ihren Aktualisierungsdienst ausführt und somit das Abrufen von Code aus dem Internet verhindert. Eclypsium geht davon aus, dass diese Funktion standardmäßig deaktiviert sein sollte, gab jedoch an, dass sie auf der Hardware, die ihnen zur Verfügung stand, aktiviert sei.
Auch wenn Sie ausgehende Verbindungen zu den oben genannten URLs blockieren können, ist das möglicherweise vorerst eine gute Idee. Beachten Sie jedoch, dass dadurch der Aktualisierungsprozess des App Centers unterbrochen werden kann.
Woher weiß ich, ob ich betroffen bin?
Eclypsium hat hier eine Liste mit 271 betroffenen Mainboards [PDF].
Was sagt Gigabyte?
Das Register bat Gigabyte um einen Kommentar; Wir werden Sie informieren, wenn wir etwas hören. Eclypsium gibt an, mit dem Hersteller zusammenzuarbeiten, um die Schwachstelle zu beheben.
Sollte ich denjenigen von meiner Weihnachtskartenliste streichen, der es für eine gute Idee hielt, der UEFI-Firmware die automatische und stille Installation von Windows-Diensten im System32-Ordner zu erlauben?
Ja.
Sollte ich in Panik geraten?
Nein. ®