Update, 2. Juni 2023: Gigabyte hat veröffentlicht eine offizielle Stellungnahme und hat mit uns Kontakt aufgenommen und mitgeteilt, dass Beta-BIOS-Optionen auf die offizielle Gigabyte-Website hochgeladen wurden, die sich mit den im Eclypsium-Bericht hervorgehobenen Sicherheitsproblemen befassen. Es wird behauptet, dass Firmware-Updates für die Intel 600- und 700-Serie sowie die AMD 400- und 500-Serie veröffentlicht wurden und dass Beta-BIOS-Versionen für die Intel 400- und 500-Serie sowie die AMD 600-Serie bald verfügbar sein werden.
Ein kurzer Blick auf einige B550-Mainboards auf der Eclypsium-Liste zeigt jedoch, dass ihnen das neue BIOS-Update immer noch fehlt, obwohl ich gesehen habe, dass die neue Firmware für Intel-Mainboards verfügbar ist.
Nach dem Asus-Debakel warte ich auf eine Antwort, die bestätigt, dass die Verwendung eines Beta-BIOS keine Auswirkungen auf Ihre Motherboard-Garantie hat.
Zu den Maßnahmen von Gigabyte zur Behebung der Sicherheitslücke sagte das Unternehmen Folgendes:
Um die Systemsicherheit zu erhöhen, hat GIGABYTE strengere Sicherheitsprüfungen während des Startvorgangs des Betriebssystems implementiert. Diese Maßnahmen zielen darauf ab, mögliche böswillige Aktivitäten zu erkennen und zu verhindern und den Benutzern einen verbesserten Schutz zu bieten:
1. Signaturprüfung: GIGABYTE hat den Validierungsprozess für von Remote-Servern heruntergeladene Dateien verbessert. Diese erweiterte Überprüfung stellt die Integrität und Legitimität der Inhalte sicher und vereitelt alle Versuche von Angreifern, Schadcode einzuschleusen.
2. Einschränkungen des privilegierten Zugriffs: GIGABYTE hat die standardmäßige kryptografische Überprüfung von Remote-Server-Zertifikaten aktiviert. Dies garantiert, dass Dateien ausschließlich von Servern mit gültigen und vertrauenswürdigen Zertifikaten heruntergeladen werden, was eine zusätzliche Schutzebene gewährleistet.
Originalgeschichte, 1. Juni 2023: Es ist keine gute Zeit, ein Motherboard-Hersteller zu sein. Erstens riskiert Asus, Ihren Ryzen-Prozessor mit zu aggressiven Spannungseinstellungen in seiner Firmware (sogar der angeblichen „Fixierung“) zu verbrennen, und jetzt wird Gigabyte beschuldigt, die gleichen Backdoor-Techniken zu verwenden wie „Bedrohungsakteure“, die versuchen, sich in Systeme zu hacken.
Die Sicherheitslücke wurde von einem Sicherheitsunternehmen entdeckt. Eklypsium (über Verdrahtet) und weist auf Millionen von Gigabyte-Motherboards hin, die mit demselben unsichtbaren Firmware-Aktualisierungsmechanismus ausgestattet sind.
„Wir arbeiten mit Gigabyte zusammen, um diese unsichere Implementierung ihrer App-Center-Funktion anzugehen“, heißt es in dem Bericht. „Um Organisationen vor böswilligen Akteuren zu schützen, geben wir diese Informationen und Abwehrstrategien auch in einem kürzeren Zeitrahmen öffentlich bekannt als bei der typischen Offenlegung von Schwachstellen.“
Eclypsium hat veröffentlicht eine Liste der betroffenen Motherboards (PDF-Warnung), aber wenn Sie ein modernes Gigabyte-Motherboard haben, ist die Wahrscheinlichkeit groß, dass Ihr aktuelles Mobo auf dieser umfangreichen Liste steht. Berichten zufolge sind 271 verschiedene Modelle auf der Liste, aber ich habe sie nicht gezählt, da die PDF-Datei über drei Seiten und drei Spalten mit ziemlich kleiner Schrift verfügt. Es genügt zu sagen, dass es viele Boards sind.
Es spielt auch keine Rolle, ob Sie ein AMD- oder Intel-System verwenden; Die Sicherheitslücke betrifft beide Plattformen.
Theoretisch wäre dafür lediglich jemand im selben Netzwerk wie Ihr Computer erforderlich, der den unsicheren Updater von Gigabyte abfängt und ihn auf eine andere URL als die Standard-Firmware-Repositorys verweist. Das Schlimmste daran ist, dass einer der drei möglichen Download-Speicherorte eine einfache HTTP-Adresse verwendet, nicht das weitaus sicherere HTTPS.
Eclypsium hat erklärt, dass es derzeit nicht davon ausgeht, dass die Schwachstelle aktiv ausgenutzt wurde, sondern dass „eine aktive, weit verbreitete Hintertür, die schwer zu entfernen ist, ein Lieferkettenrisiko für Unternehmen mit Gigabyte-Systemen darstellt.“
Darin werden die potenziellen Risiken und Auswirkungen wie folgt aufgeführt:
- Missbrauch einer OEM-Hintertür durch Bedrohungsakteure: Bisher haben Bedrohungsakteure legitime, aber unsichere/anfällige „OEM-Hintertür“-Software ausgenutzt, die in die Firmware von PCs integriert ist. Vor allem die Sednit-Gruppe (APT28, FancyBear) nutzte Computrace aus LoJack als legitime Anti-Diebstahl-Funktion für Laptops ausgeben.
- Gefährdung der OEM-Update-Infrastruktur und Lieferkette: Gigabyte hat es Dokumentation auf ihrer Website Für diese Funktion ist sie möglicherweise legitim, wir können jedoch nicht bestätigen, was bei Gigabyte passiert. Im August 2021 kam es bei Gigabyte zu einem Verstoß gegen kritische Daten RansomEXX Gruppe und erlebte dann im Oktober 2021 einen weiteren Verstoß durch die AvosLocker-Gruppe.
- Persistenz mit UEFI-Rootkits und Implantaten: UEFI-Rootkits und -Implantate gehören zu den heimlichsten und mächtigsten Formen von Malware, die es gibt. Sie befinden sich in der Firmware auf Motherboards oder in EFI-Systempartitionen von Speichermedien und werden vor dem Betriebssystem ausgeführt, wodurch sie das Betriebssystem und die Sicherheitskontrollen in höheren Schichten vollständig unterlaufen können. Da außerdem der Großteil des UEFI-Codes auf der Hauptplatine statt auf Speicherlaufwerken vorhanden ist, bleiben UEFI-Bedrohungen problemlos bestehen, selbst wenn Laufwerke gelöscht und das Betriebssystem neu installiert wird. Die Entdeckungsrate neuer UEFI-Rootkits hat sich in den letzten Jahren stark beschleunigt, wie die Entdeckung von LoJax (2018) zeigt. MosaikRegressor (2020), FinSpy (2021) ESPecter (2021), MoonBounce (2022), CosmicStrand (2022) und Schwarzer Lotus (2023). Die meisten davon wurden verwendet, um die Persistenz anderer, betriebssystembasierter Malware zu ermöglichen. Diese Gigabyte-Firmware-Images und die dauerhaft gelöschte ausführbare Windows-Datei ermöglichen dasselbe Angriffsszenario. Oftmals ließen die oben genannten Implantate ihre nativen ausführbaren Windows-Dateien wie legitime Update-Tools aussehen. Im Fall von MosaicRegressor hieß die Windows-Nutzlast „IntelUpdater.exe“.
- MITM-Angriffe auf Firmware- und Software-Update-Funktionen: Darüber hinaus öffnet die unsichere Natur des Aktualisierungsprozesses die Tür für MITM-Techniken über einen kompromittierten Router, ein kompromittiertes Gerät im selben Netzwerksegment, DNS-Poisoning oder andere Netzwerkmanipulationen. Es ist auch wichtig zu beachten, dass es sich bei der dritten Verbindungsoption, https://software-nas/Swhttp/LiveUpdate4, nicht um einen vollständig qualifizierten Domänennamen handelt, sondern um einen Computernamen, der sich vermutlich im lokalen Netzwerk befindet. Dies bedeutet, dass ein Angreifer in einem lokalen Subnetz das Implantat dazu verleiten könnte, eine Verbindung zu seinem System herzustellen, ohne dass DNS-Spoofing erforderlich ist.
- Anhaltendes Risiko aufgrund unerwünschten Verhaltens innerhalb der offiziellen Firmware: In UEFI oder anderer Firmware versteckte Hintertüren können schwer zu entfernen sein. Selbst wenn die ausführbare Backdoor-Datei entfernt wird, löscht die Firmware sie beim nächsten Systemstart einfach wieder. Diese Herausforderung wurde bereits beim Versuch, Computrace LoJack zu entfernen, demonstriert Superfisch Tools von Lenovo Laptops.
Das Ganze findet während des Windows-Startvorgangs statt, bei dem der Gigabyte-Updater ohne Eingaben des Benutzers loslegen und Payloads von verschiedenen Orten im Internet herunterladen und dann ausführen kann.
Die Tatsache, dass sich einer dieser Standorte auf einer unsicheren HTTP-Adresse befindet, macht ihn leicht durch einen sogenannten Machine-in-the-Middle-Angriff gefährdet. Allerdings stellt Eclypsium auch fest, dass selbst an den HTTPS-Standorten die eigentliche Remote-Zertifikatsvalidierung (der Teil, der es theoretisch sicherer machen sollte) nicht ordnungsgemäß implementiert ist, was sie auch für die gleiche Art von Angriff anfällig macht.
Wenn Sie ein Unternehmen mit Gigabyte-basierten Systemen betreiben, ist dies ein gewisser Sicherheitsalbtraum, obwohl es für Solo-PC-Spieler wohl weniger besorgniserregend ist. Aber es ist immer noch kein gutes Gefühl zu wissen, dass ein unsicheres Wi-Fi-Netzwerk dazu führen kann, dass irgendetwas auf Ihren Computer geladen wird, ohne dass Sie etwas davon wissen.
Die empfohlene Lösung
Das Wichtigste, was Sie tun können, um Ihren persönlichen Computer zu schützen, besteht darin, in das BIOS Ihres PCs einzudringen und die Funktion „APP Center Download & Install“ zu deaktivieren. Sie können auch ein BIOS-Passwort festlegen, um zukünftige Änderungen zu vermeiden, die Sie nicht vorgenommen haben.
Sie können Ihr BIOS aufrufen, indem Sie während dieses kurzen Startfensters wie üblich die Entf- oder F2-Tasten drücken oder alternativ Ihren PC unter Windows neu starten, während Sie die Umschalttaste gedrückt halten. Dadurch gelangen Sie zu einem Startoptionsbildschirm, auf dem Sie Ihr UEFI-BIOS aufrufen können.
Wir haben Gigabyte um einen Kommentar gebeten und werden ihn aktualisieren, sobald wir etwas hören.