image

Securitybedrijf waarschuwt voor backdoor in Gigabyte-moederborden

woensdag 31 mei 2023, 16:18 door Redactie, 6 reacties

In een groot aantal moederborden van fabrikant Gigabyte is een backdoor aanwezig waardoor het mogelijk is om systemen met malware te infecteren, zo claimt securitybedrijf Eclypsium. Firmware-updates van Gigabyte om het probleem te verhelpen zijn nog niet beschikbaar. Het probleem is in meer dan 250 modellen moederborden van Gigabyte aanwezig, aldus de onderzoekers.

De UEFI-firmware die op de moederborden draait bevat een Windows executable die bij het opstarten van het systeem naar de schijf van de computer wordt geschreven. Een techniek die vaak door UEFI-malware en backdoors wordt toegepast, aldus Eclypsium. Het gaat om een .NET-applicatie die vervolgens aanvullende code downloadt. Afhankelijk van de configuratie gebeurt dat via het onversleutelde HTTP.

Een aanvaller kan via een man-in-the-middle (MITM) aanval zo andere bestanden naar de gebruiker sturen. Een dergelijke aanval is ook bij HTTPS mogelijk, aangezien de controle van het servercertificaat niet goed is geïmplementeerd, waardoor ook hier een MITM-aanval mogelijk is. Verder blijkt de firmware de digitale handtekening van bestanden niet te controleren of andere validatie toe te passen.

"Als je zo'n moederbord hebt moet je je zorgen maken over het feit dat er zonder je betrokkenheid iets op onveilige wijze van het internet wordt gedownload", zegt John Loucaides van Eclypsium tegenover Wired. "De meeste mensen vinden het niet fijn als ze worden gepasseerd en hun machine overgenomen." Eclypsium stelt dat het Gigabyte heeft gewaarschuwd en de moederbordfabrikant aan een oplossing werkt.

In de tussentijd krijgen gebruikers het advies om de “APP Center Download & Install" feature in de UEFI/BIOS uit te schakelen, een BIOS-wachtwoord in te stellen zodat de feature niet is in te schakelen, verschillende domeinen te blokkeren en te controleren of er nieuwe firmware-updates beschikbaar zijn.

Reacties (6)
31-05-2023, 17:00 door Anoniem
hoe kan een windows .exe draaien op mijn ubuntu omgeving? hoe komt die .exe op mijn BFS ?
01-06-2023, 00:04 door Anoniem
Dat kan omdat wat hierboven bechreven wordt gebeurd nog VOOR je Linux Os wordt geladen lieve jongen. Je kan dit ook voorkomen door eerst je moederbooard in te smeren met dun kwastje met olijfolie, je sonypal op je moederboard op Gforce=1 te zetten en je digitale defluxcompensator uit te zetten in je RAM
01-06-2023, 09:36 door Anoniem
Door Anoniem: Dat kan omdat wat hierboven bechreven wordt gebeurd nog VOOR je Linux Os wordt geladen lieve jongen.
Ik denk niet dat een UEFI loader weet hoe hij een .exe file in een B(TR)FS filesystem moet schrijven... die support vast alleen NTFS en misschien FAT32.
En dan nog, dan gaat ie op zoek naar een directory waar die het neer moet zetten die niet bestaat bij Linux, en als het hem lukt die file op de disk te zetten dan wordt ie nog steeds niet uitgevoerd.
Dus het lijkt me een Windows-specifieke aanval.
01-06-2023, 11:55 door Anoniem
Door Anoniem:
Door Anoniem: Dat kan omdat wat hierboven bechreven wordt gebeurd nog VOOR je Linux Os wordt geladen lieve jongen.
Ik denk niet dat een UEFI loader weet hoe hij een .exe file in een B(TR)FS filesystem moet schrijven... die support vast alleen NTFS en misschien FAT32.
En dan nog, dan gaat ie op zoek naar een directory waar die het neer moet zetten die niet bestaat bij Linux, en als het hem lukt die file op de disk te zetten dan wordt ie nog steeds niet uitgevoerd.
Dus het lijkt me een Windows-specifieke aanval.
Je moet wel dat app center hebben geïnstalleerd waarin idd een exe zit die toegang heeft tot het BIOS. Dit hebben merken als HP ed. ook dus daar gelden vergelijkbare risico's. Sowieso moet je jezelf afvragen of je vanuit welk OS dan ook direct naar je BIOS zou moeten schrijven. Wellicht makkelijk maar in de praktijk gewoon een heel slecht idee. Gewoon via het BIOS zelf updaten, wat bij GigaByte ook gewoon kan. het verhaal van Eclypsium lijkt mij een broodje aap verhaal. want er zit geen .exe in de UEFI files, net gecheckt.
01-06-2023, 15:11 door Anoniem

Je moet wel dat app center hebben geïnstalleerd waarin idd een exe zit die toegang heeft tot het BIOS. Dit hebben merken als HP ed. ook dus daar gelden vergelijkbare risico's. Sowieso moet je jezelf afvragen of je vanuit welk OS dan ook direct naar je BIOS zou moeten schrijven. Wellicht makkelijk maar in de praktijk gewoon een heel slecht idee. Gewoon via het BIOS zelf updaten, wat bij GigaByte ook gewoon kan. het verhaal van Eclypsium lijkt mij een broodje aap verhaal. want er zit geen .exe in de UEFI files, net gecheckt.

Hoezo broodje aap. Staat toch prima uitgelegd. Nu is het wel een beetje wij van Eclypsium (de WC eend in deze)

This is a Windows Native Binary executable embedded inside of UEFI firmware binary in a UEFI firmware volume with the following GUID:

AEB1671D-019C-4B3B-BA-00-35-A2-E6-28-04-36.
This Windows executable is embedded into UEFI firmware
01-06-2023, 21:23 door Anoniem
https://learn.microsoft.com/en-us/windows-hardware/drivers/bringup/windows-uefi-firmware-update-platform deze functie gaat het waarschijnlijk om. Dat zou betekenen dat het een feature is en geen bug/ongewenste functionaliteit (typisch MS weer) en dat iedere moederbord fabrikant hier mee te maken heeft. UEFI zou toch zo veilig zijn? Net als secureboot, als daar de sleutels niet van uitlekken tenminste. Je kunt beter weer gewoon weer legacy BIOS gaan gebruiken want dat is net zo veilig of onveilig als UEFI. Betekend wel alle schijven omzetten naar MBR
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.