image

Gigabyte komt met bios-update om 'backdoor' van moederborden te verwijderen

maandag 5 juni 2023, 14:07 door Redactie, 7 reacties

Gigabyte heeft bios-updates uitgebracht om een 'backdoor' van allerlei moederborden te verwijderen. Eind mei stelde securitybedrijf Eclypsium dat er in een groot aantal modellen moederborden van Gigabyte een backdoor aanwezig is waardoor een aanvaller systemen met malware kan infecteren.

De UEFI-firmware die op de moederborden draait bevat een Windows executable die bij het opstarten van het systeem naar de schijf van de computer wordt geschreven. Een techniek die vaak door UEFI-malware en backdoors wordt toegepast, aldus Eclypsium. Het gaat om een .NET-applicatie die vervolgens aanvullende code downloadt. Het gaat om de update-service die onderdeel van het Gigabyte App Center is, een programma voor het updaten van apps, drivers en bios.

Afhankelijk van de configuratie gebeurt het downloaden van de code via het onversleutelde HTTP. Een aanvaller kan via een man-in-the-middle (MITM) aanval zo andere bestanden naar de gebruiker sturen. Een dergelijke aanval is ook bij HTTPS mogelijk, aangezien de controle van het servercertificaat niet goed is geïmplementeerd, waardoor ook hier een MITM-aanval mogelijk is. Verder blijkt de firmware de digitale handtekening van bestanden niet te controleren of andere validatie toe te passen.

Eclypsium spreekt in het eigen onderzoek van een backdoor, maar Gigabyte heeft het over kwetsbaarheden. De moederbordfabrikant heeft nu updates uitgebracht die de problemen moet verhelpen. Zo worden digitale handtekeningen en certificaten nu beter gecontroleerd. "Dit garandeert dat bestanden alleen van servers met geldige en vertrouwde certificaten worden gedownload", aldus Gigabyte. Zo'n 270 modellen moederborden hebben volgens Eclypsium met het probleem te maken. Voor moederborden met de Intel 700/600 en AMD 600/500/400 chipsets zijn er nu updates te vinden.

Reacties (7)
05-06-2023, 14:32 door Anoniem
Net zoals routers zouden moederborden "stand-alone" moeten zijn.
En al zeker niet met functies die knoeien met het daarboven liggende besturingssysteem!
05-06-2023, 14:51 door Anoniem
En waar zit de backdoor in deze 'update'?
05-06-2023, 15:33 door Anoniem
Ik snap nog steeds niet waarom een UEFI bios online updates nodig heeft. Je kunt die updates toch ook gewoon ophalen als windows gestart is... Wie heeft het bedacht om drivers updates te gaan downloaden door het bios?? En gezien de manier waarop, zijn dat ook nog eens mensen zonder security kennis.... prutsers

Zo wordt hardware vanzelf onveilig...

TheYOSH
05-06-2023, 18:56 door Anoniem
Zag gister al op HW-Info:

EUFI installeert GigabyteUpdateService.exe die dan na elke reboot deze URLs checkt.

Orginele bron: https://eclypsium.com/blog/supply-chain-risk-from-gigabyte-app-center-backdoor/

Op nwe Bios kan je checken bij Gigabyte/support
05-06-2023, 21:43 door Anoniem
20 jaar al grote problemen gehad met een Gigabyte moederbord.
Heel even 2 jaar geleden overwogen nog eens een Gigabyte te nemen, maar blij dat ik dat niet gedaan heb.
En na dit akkefietje komt dat merk er zeker nooit meer in.
06-06-2023, 02:57 door Anoniem
Door Anoniem: Ik snap nog steeds niet waarom een UEFI bios online updates nodig heeft. Je kunt die updates toch ook gewoon ophalen als windows gestart is... Wie heeft het bedacht om drivers updates te gaan downloaden door het bios??

Je denkt als een thuisgebruiker ...

Waarom zou je pas (en alleen) als "Windows" gestart is de bootloader/bios moeten updaten ?
Waarom zou degene die de hardware beheert ook Admin rechten hebben binnen de OS omgeving die daarop draait ?

Als je een Datacenter vol 'bare metal' servers hebt is er best wat voor te zeggen dat je BIOS kunt updaten voordat de OSen erop gezet zijn.
Het is niet gezegd dat de admins van de OSen ook de hardware beheren. (En andersom).
Of dat je een systeem down brengt (VMs wegmigreren), en dan (UEFI) bios updates doen.
13-06-2023, 12:12 door Anoniem
Het blijkt nu dat ASUS hetzelfde heeft: ASUSUpdateCheck blijkt terugkeren, zelffs na het verwijderen van de service uit ht register:
https://rog-forum.asus.com/t5/asus-software/asusupdatecheck-exe-reappears-after-reboot/td-p/855265
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.