Firmware Asus- en Gigabyte-moederborden besmet met UEFI-rootkit
Onderzoekers hebben in firmware-images van Asus- en Gigabyte-moederborden malware aangetroffen waarmee aanvallers vergaande controle over het besmette systeem krijgen. De UEFI-rootkit wordt al jaren gebruikt, maar wordt nu pas beschreven. Hoe de firmware-images besmet konden worden is onbekend. Alle geïnfecteerde firmware-images waren voor moederborden met Intels H81-chipset. Dit is een oudere moederbordchipset die eind 2013 werd gelanceerd.
De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben.
De malware in de besmette firmware wijzigt de werking van de Windows kernel loader en schakelt beveiligingsmaatregelen zoals Windows PatchGuard uit, dat juist aanpassingen aan de Windows-kernel moet voorkomen. Het uiteindelijke doel van de UEFI-malware is het laden van shellcode in het geheugen van de besmette computer. Deze shellcode maakt verbinding met de server van de aanvallers en laadt de uiteindelijke "payload" op het systeem.
De vraag blijft hoe de aanvallers erin zijn geslaagd om de firmware van malware te voorzien. Aangezien alle aangepaste firmware-images voor de H81-chipset waren vermoeden onderzoekers van antivirusbedrijf Kaspersky dat een kwetsbaarheid het injecteren van de rootkit mogelijk maakt. Het zou kunnen dat de aanvallers eerder toegang tot de aangevallen systemen hadden. Vervolgens hebben ze de moederbord-firmware gedownload, aangepast en weer geüpload.
De meeste infecties met de UEFI-rootkit zijn waargenomen in China, Vietnam, Iran en Rusland. Het is hierbij belangrijk om te vermelden dat het alleen gaat om Kaspersky-klanten die de gratis versie van de antivirussoftware gebruikten. Het werkelijke aantal infecties wereldwijd is dan ook onbekend, aangezien andere antivirusbedrijven nog geen melding van de malware hebben gemaakt.
Volgens de onderzoekers is de belangrijkste conclusie dat de UEFI-rootkit al sinds eind 2016 in gebruik lijkt te zijn, lang voordat er in het openbaar over UEFI-aanvallen werd geschreven. "Dit roept de vraag op: als de aanvallers destijds hier al gebruik van maakten, wat gebruiken ze nu dan?", zo besluiten de onderzoekers hun analyse.
En AMD CPU's hebben geen lekken?
https://www.amd.com/en/corporate/product-security/bulletin/amd-sb-1027
"De vraag blijft hoe de aanvallers erin zijn geslaagd om de firmware van malware te voorzien."
Misschien is deze firmware aanpassing ook ergens in de AMD fabriek toegepast. Je weet het niet hé.
Genoeg systemen die nu nog gebruikt worden waar geen micro-code-updates
voor beschikbaar waren voor velen intel/amd cpu's.
Niets is 100% veilig.
its hard be aware,dont be scared
Update: En dan bedoel ik dat ik hoop dat het er daadwerkelijk niet is, niet dat als het er is dat het niet ontdekt wordt ;-)
Update: En dan bedoel ik dat ik hoop dat het er daadwerkelijk niet is, niet dat als het er is dat het niet ontdekt wordt ;-)
Hoezo niet...
edit: quote en /quote toegevoegd.
Yup, echte bende. Kansloos dat ze hiermee blijven wegkomen.
Of heeft windows "secure boot: enabled" nodig om te kunnen draaien?
UEFI is de vervanger van het verouderde BIOS. Dit staat op een chip in de computer en word gebruikt om instructies te geven wanneer de computer aangezet word zodat je besturingssysteem geladen kan worden. Heeft dus niks met windows temaken. Elk besturingssysteem dat ondersteund word op jou pc kan gebruikt worden.
Windows is de boosdoener als er probleem met een de firmware van je moederbord?
Fijne site dit maar de comments, post dan niks als je niks zinnigs te melden hebt.
Ben benieuwd wanneer asus of gigabyte melding maken van een hack dan. Lijkt me niet dat je zonder de firmware kan aanpassen op het mobo. Wat is trouwens de oplossing is er al update voor de mobos bekend ?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.