Update 01.06.2022 19:00 Uhr PT: Gigabyte hat eine neue Firmware bereitgestellt, die die Firmware-Hintertüren entschärft. Die Firmware-Updates, die auf der offiziellen Website von Gigabyte verfügbar sind, stehen Verbrauchern online zum Herunterladen und Aktualisieren ihres Motherboards zur Verfügung.
Originaler Artikel
Cybersicherheitsunternehmen Eklypsium hat in der Firmware von Gigabyte eine Hintertür entdeckt, die … 271 verschiedene Mainboards in Gefahr. Dazu gehören Modelle mit Intel- und AMD-Chipsätzen der letzten Jahre bis hin zu den heutigen Z790- und X670-Modellen. Die Schwachstelle liegt in einem kleinen Updater-Programm, das Gigabyte einsetzt, um sicherzustellen, dass die Firmware des Motherboards immer aktuell ist. Anscheinend geschieht dies über eine ungesicherte Implementierung.
Ist Ihnen schon einmal aufgefallen, dass nach einer Neuinstallation von Windows ein Programm erscheint, das Ihnen anbietet, den neuesten Treiber oder die neueste Firmware herunterzuladen? Leider könnte dieser kleine Code eine Hintertür für Kriminelle darstellen.
Bei jedem Systemneustart startet ein Code in der Firmware ein Aktualisierungsprogramm, das eine Verbindung zum Internet herstellt, um die neueste Firmware für das Motherboard zu prüfen und herunterzuladen. Eclypsium kam zu dem Schluss, dass die Implementierung von Gigabyte unsicher ist und Cyberkriminelle den Exploit nutzen können, um Malware auf dem System des Opfers zu installieren. Das große Problem besteht darin, dass sich das Updater-Programm in der Firmware des Motherboards befindet, sodass Verbraucher es nicht einfach entfernen können.
Gigabyte ist nicht der einzige Anbieter, der diese Art von Programmen verwendet, um Firmware-Updates zu ermöglichen. Andere Motherboard-Hersteller verwenden eine ähnliche Methode, was die Frage aufwirft, ob diese sicher sind. Beispielsweise funktioniert die Software Armory Crate von Asus ähnlich wie das App Center von Gigabyte. Den Erkenntnissen von Eclypsium zufolge pingt das Updater-Programm von Gigabyte drei verschiedene Websites für Firmware-Updates an:
- http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://software-nas/Swhttp/LiveUpdate4
Eclypsium kam zu dem Schluss, dass der Updater ohne ordnungsgemäße Authentifizierung Code auf das System des Benutzers herunterlädt. Es verwendet keine kryptografische Überprüfung digitaler Signaturen oder andere Validierungsmethoden. Daher sind HTTP- und HTTPS-Verbindungen anfällig für Machine-in-the-Middle-Angriffe (MITM), wobei erstere anfälliger sind als letztere. Neben der Verbindung zum Internet stellte Eclypsium auch fest, dass der Updater Firmware-Updates von einem NAS-Gerät im lokalen Netzwerk herunterladen konnte. Ein böswilliger Akteur kann auf ähnliche Weise das NAS fälschen und das Opfer mit Spyware infizieren.
Der Updater ist ein Standardtool bei Gigabyte-Mainboards. Eclypsium hat ein umfangreiches zusammengestellt Liste der betroffenen Modelle. Die Liste umfasst bis zu 271 Motherboards, darunter sowohl Intel- als auch AMD-Motherboards. Einige Modelle gehen auf AMD-Chipsätze der 400er-Serie zurück. Allerdings sind nicht einmal die neuesten Motherboards der Intel 700-Serie oder AMD 600-Serie sicher.
Eclypsium hat seine Entdeckungen bereits mit Gigabyte geteilt und der Motherboard-Hersteller arbeitet an einer Lösung zur Behebung der Schwachstelle. Ironischerweise wird die Lösung wahrscheinlich in einer aktualisierten Firmware verfügbar sein. In der Zwischenzeit können Besitzer von Gigabyte-Motherboards einige Maßnahmen ergreifen, um ihre Systeme zu schützen.
Eclypsium empfiehlt Benutzern, die Funktion „APP Center Download & Install“ in der Firmware des Motherboards zu deaktivieren. Die Option ist es, die den Updater initiiert. Darüber hinaus können Benutzer ein Passwort auf BIOS-Ebene implementieren, um unerwünschte, böswillige Aktivitäten zu verhindern. Zu guter Letzt können Benutzer die drei Websites blockieren, die der Updater kontaktiert.