Raziskovalci podjetja Eclypsium za vdelano programsko opremo in varnost dobavne verige trdijo, da so našli kar so precej dramatično poimenovali "backdoor" v stotinah modelov matičnih plošč znanega proizvajalca strojne opreme Gigabyte.
Pravzaprav naslov Eclypsiuma ne omenja le kot Zakulisni, vendar vse z velikimi črkami kot a ZADNJA VRATA.
Dobra novica je, da se zdi, da je to legitimna funkcija, ki je bila slabo implementirana, zato ne gre za stranska vrata v običajnem, zahrbtnem smislu varnostne luknje, ki je bila namenoma vstavljena v računalniški sistem za zagotovitev nepooblaščenega dostopa v prihodnosti.
Torej ni tako, kot da dnevni obiskovalec zavestno odpre malo znano okno na zadnji strani stavbe, da se lahko vrne pod okriljem teme in vlomi.
Slaba novica je, da se zdi, da je to legitimna funkcija, ki je bila slabo implementirana, zaradi česar so prizadeti računalniki potencialno ranljivi za zlorabo kibernetskih kriminalcev.
Torej je malo podobno malo znanemu oknu na zadnji strani stavbe, ki je pozabljeno po pomoti ostalo nezapahnjeno.
Po mnenju Ecylpsia je težava del storitve Gigabyte, znane kot Center APP, Ki je "omogoča enostaven zagon vseh aplikacij GIGABYTE, nameščenih na vašem sistemu, preverjanje povezanih posodobitev na spletu in prenos najnovejših aplikacij, gonilnikov in BIOS-a."
Samodejne posodobitve s slabostmi
Napačna komponenta v tem ekosistemu APP Center, pravijo raziskovalci, je program Gigabyte, imenovan GigabyteUpdateService.exe
, aplikacija .NET, ki je nameščena v %SystemRoot%System32
imenik (vaš sistemski koren je običajno C:Windows
) in se samodejno zažene ob zagonu kot storitev Windows.
Storitve so Windows ekvivalent procesov v ozadju oz demoni v sistemih v slogu Unixa: običajno delujejo pod lastnim uporabniškim računom, pogosto pod računom SYSTEM
račun in tečejo ves čas, tudi če se odjavite in vaš računalnik nezahtevno čaka na prijavnem zaslonu.
Ta GigabyteUpdateService
Zdi se, da program počne natanko to, kar nakazuje njegovo ime: deluje kot avtomatiziran prenosnik in namestitev za druge komponente Gigabyte, navedene zgoraj kot aplikacije, gonilniki in celo vdelana programska oprema BIOS-a.
Na žalost, glede na Eclypsium, pridobiva in izvaja programsko opremo z enega od treh trdo povezanih URL-jev in je bil kodiran tako, da:
- En URL uporablja navaden stari HTTP in tako med prenosom ne zagotavlja zaščite kriptografske celovitosti. Vmesni manipulator (MitM), skozi katerega strežnike poteka vaš omrežni promet, lahko ne le prestreže katere koli datoteke, ki jih program prenese, temveč jih med potjo tudi nezaznavno spremeni, na primer tako, da jih okuži z zlonamerno programsko opremo ali jih zamenja s popolnoma različnimi datotekami.
- Dva URL-ja uporabljata HTTPS, vendar pripomoček za posodobitev ne preveri potrdila HTTPS, ki ga strežnik na drugi strani pošlje nazaj. To pomeni, da lahko MitM predstavi spletno potrdilo, izdano v imenu strežnika, ki ga pričakuje prenosnik, ne da bi bilo treba to potrdilo preveriti in podpisati s strani priznanega overitelja potrdil (CA), kot je Let's Encrypt, DigiCert ali GlobalSign. Prevaranti bi lahko preprosto ustvarili ponarejeno potrdilo in sami "jamčili" zanj.
- Programi, ki jih prenosnik pridobi in zažene, niso kriptografsko potrjeni, da bi preverili, ali so res prišli od Gigabyte. Windows ne dovoli izvajanja prenesenih datotek, če niso digitalno podpisane, dovolj pa je digitalni podpis katere koli organizacije. Kibernetski kriminalci redno pridobivajo lastne ključe za podpisovanje kode z lažnimi navideznimi podjetji ali z nakupom ključev iz temnega spleta, ki so bili ukradeni pri vdoru podatkov, napadih z izsiljevalsko programsko opremo itd.
To je že samo po sebi dovolj slabo, vendar je v tem nekaj več kot to.
Vstavljanje datotek v Windows
Ne morete kar iti ven in vzeti nove različice GigabyteUpdateService
utility, ker je ta določen program morda prispel v vaš računalnik na nenavaden način.
Windows lahko kadar koli znova namestite, standardna slika sistema Windows pa ne ve, ali boste uporabljali matično ploščo Gigabyte ali ne, zato ni priložena GigabyteUpdateService.exe
prednameščen.
Gigabyte zato uporablja funkcijo Windows, znano kot WPBTali Binarna tabela platforme Windows (Microsoft ga je predstavil kot funkcijo, čeprav se morda ne boste strinjali, ko boste izvedeli, kako deluje).
Ta »funkcija« omogoča Gigabyte, da vstavi GigabyteUpdateService
program v System32
neposredno iz vašega BIOS-a, tudi če je vaš pogon C: šifriran z Bitlockerjem.
WPBT zagotavlja mehanizem za izdelovalce vdelane programske opreme, da shranijo izvedljivo datoteko sistema Windows v svoje slike BIOS-a, jo naložijo v pomnilnik med postopkom pred zagonom vdelane programske opreme in nato povedo sistemu Windows, "Ko odklenete pogon C: in se začnete zagnati, preberite ta blok pomnilnika, ki sem ga pustil ležati za vas, ga zapišite na disk in zaženite zgodaj v procesu zagona."
Da, pravilno ste prebrali.
Glede na Microsoftovo lastno dokumentacijo je na ta način mogoče v zagonsko zaporedje sistema Windows vstaviti samo en program:
Lokacija datoteke na disku je
WindowsSystem32Wpbbin.exe
na nosilcu operacijskega sistema.
Poleg tega obstaja nekaj strogih omejitev kodiranja Wpbbin.exe
program, predvsem to:
WPBT podpira samo izvorne aplikacije v uporabniškem načinu, ki jih izvaja Windows Session Manager med inicializacijo operacijskega sistema. Izvorna aplikacija se nanaša na aplikacijo, ki ni odvisna od Windows API (Win32).
Ntdll.dll
je edina odvisnost DLL izvorne aplikacije. Izvorna aplikacija ima podsistem PE vrste 1 (IMAGE_SUBSYSTEM_NATIVE
).
Od kode izvornega načina do aplikacije .NET
Na tej točki se verjetno sprašujete, kako izvirna aplikacija nizke ravni, ki začne življenje Wpbbin.exe
konča kot popolna aplikacija za posodabljanje, ki temelji na .NET GigabyteUpdateService.exe
ki deluje kot običajna sistemska storitev.
No, na enak način kot vdelana programska oprema Gigabyte (ki se sama ne more zagnati v sistemu Windows) vsebuje vdelano IMAGE_SUBSYSTEM_NATIVE
Program WPBT, ki ga "spusti" v Windows ...
... tako tudi koda izvornega načina WPBT (ki se sama ne more izvajati kot običajna aplikacija za Windows) vsebuje vdelano aplikacijo .NET, ki jo "spusti" v System32
imenik, ki bo zagnan pozneje v procesu zagona sistema Windows.
Preprosto povedano, vaša vdelana programska oprema ima določeno različico GigabyteUpdateService.exe
in dokler ne posodobite vdelane programske opreme, boste še naprej prejemali to ožičeno različico storitve posodabljanja APP Center, ki bo namesto vas »uvedena« v Windows ob zagonu.
Tu obstaja očitna težava s piščancem in jajcem, predvsem (in ironično), da če dovolite, da ekosistem APP Center samodejno posodobi vašo vdelano programsko opremo namesto vas, se lahko zgodi, da bo vašo posodobitev upravljal isti ožičeni, ranljiva storitev posodabljanja, ki jo želite zamenjati.
Z besedami Microsofta (naš poudarek):
Primarni namen WPBT je omogočiti, da ključna programska oprema obstane, tudi če je bil operacijski sistem spremenjen ali ponovno nameščen v »čisti« konfiguraciji. Eden od primerov uporabe za WPBT je omogočanje programske opreme proti kraji, ki mora vztrajati v primeru, da je bila naprava ukradena, formatirana in znova nameščena. […] Ta funkcionalnost je zmogljiva in omogoča neodvisnim prodajalcem programske opreme (ISV) in proizvajalcem originalne opreme (OEM), da svoje rešitve za nedoločen čas ohranijo na napravi.
Ker ta funkcija omogoča vztrajno izvajanje sistemske programske opreme v kontekstu sistema Windows, ključnega pomena postane, da so rešitve, ki temeljijo na WPBT, čim bolj varne in uporabnikov sistema Windows ne izpostavljajo pogojem, ki jih je mogoče izkoriščati.. Zlasti rešitve WPBT ne smejo vsebovati zlonamerne programske opreme (tj. zlonamerne ali neželene programske opreme, nameščene brez ustreznega soglasja uporabnika).
Precej.
Kaj storiti?
Je to res "backdoor"?
Mislimo, da ne, ker bi to posebno besedo raje pridržali za bolj zlobna vedenja kibernetske varnosti, kot je npr. namenoma slabijo šifrirne algoritme, namerno vgrajene skrita gesla, odpiranje nedokumentirane poti poveljevanja in nadzora, in tako naprej.
Kakor koli že, dobra novica je, da je ta programska injekcija, ki temelji na WPBT, možnost Gigabyte matične plošče, ki jo lahko izklopite.
Raziskovalci Eclypsiuma so sami povedali, "Čeprav se zdi, da je ta nastavitev privzeto onemogočena, je bila omogočena v sistemu, ki smo ga pregledali," ampak bralnik Naked Security (glejte komentar spodaj) piše, »Pred nekaj tedni sem pravkar zgradil sistem s ploščo Gigabyte ITX in Gigabyte App Center je bil [vklopljen v BIOS-u] takoj po namestitvi.«
Torej, če imate matično ploščo Gigabyte in vas skrbi ta tako imenovana stranska vrata, se ji lahko povsem izognete: Pojdite v nastavitve BIOS-a in se prepričajte, da je APP Center Prenos in namestitev možnost je izklopljena.
Za to lahko celo uporabite programsko opremo za zaščito končne točke ali požarni zid vašega podjetja blokirajte dostop do treh URL-jev, ki so povezani z nevarno posodobitveno storitvijo, ki ga Eclypsium navaja kot:
http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4 https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4 https://software-nas SLASH Swhttp/LiveUpdate4
Da bo jasno, teh URL-jev nismo poskušali blokirati, zato ne vemo, ali bi preprečili delovanje drugih potrebnih ali pomembnih posodobitev Gigabyte, čeprav sumimo, da je blokiranje prenosov prek tega URL-ja HTTP vseeno dobra ideja .
Ugibamo, iz besedila LiveUpdate4
v delu URL-ja o poti, da boste še vedno lahko ročno prenašali in upravljali posodobitve ter jih uvajali na svoj način in ob svojem času ...
… ampak to je samo ugibanje.
Torej, bodite odprti za posodobitve podjetja Gigabyte.
To GigabyteUpdateService
Program bi vsekakor lahko izboljšal in ko ga popravite, boste morda morali posodobiti vdelano programsko opremo matične plošče, ne le sistema Windows, da zagotovite, da stare različice še vedno nimate zakopane v vdelani programski opremi in čakate, da oživi v prihodnosti.
In če ste programer, ki piše kodo za upravljanje spletnih prenosov v sistemu Windows, vedno uporabljajte HTTPS in vedno izvajajte vsaj osnovni nabor preverjanj potrdila na katerem koli strežniku TLS, s katerim se povežete.
Ker lahko.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoAiStream. Podatkovna inteligenca Web3. Razširjeno znanje. Dostopite tukaj.
- Kovanje prihodnosti z Adryenn Ashley. Dostopite tukaj.
- Kupujte in prodajajte delnice podjetij pred IPO s PREIPO®. Dostopite tukaj.
- vir: https://nakedsecurity.sophos.com/2023/06/02/researchers-claim-windows-backdoor-affects-hundreds-of-gigabyte-motherboards/
- :ima
- : je
- :ne
- $GOR
- 1
- 15%
- 7
- a
- sposobnost
- Sposobna
- O meni
- nad
- absolutna
- zloraba
- dostop
- Po
- Račun
- pridobiti
- aktov
- Avgust
- algoritmi
- vsi
- omogočajo
- omogoča
- skupaj
- Prav tako
- skupaj
- vedno
- an
- in
- kaj
- API
- aplikacija
- se prikaže
- uporaba
- aplikacije
- aplikacije
- SE
- okoli
- AS
- At
- Napadi
- Avtor
- organ
- avto
- Avtomatizirano
- samodejno
- nazaj
- Zakulisni
- ozadje
- ozadja, slike
- Slab
- slabo
- Osnovni
- BE
- ker
- postane
- bilo
- vedenja
- Bit
- Block
- blokiranje
- svet
- meja
- Bottom
- Pasovi
- kršitve
- Building
- zgrajena
- vendar
- Nakup
- by
- CA
- se imenuje
- prišel
- CAN
- opravlja
- Nadaljuj
- primeru
- center
- potrdilo
- Certifikacijski organ
- spremenilo
- preveriti
- Pregledi
- trdijo
- jasno
- Koda
- kodirano
- Kodiranje
- barva
- kako
- Podjetja
- podjetje
- komponenta
- deli
- računalnik
- računalniki
- konfiguracija
- Connect
- Soglasje
- Vsebuje
- ozadje
- Corporate
- bi
- pokrov
- ustvarjajo
- kritično
- kriptografijo
- cybercriminals
- Cybersecurity
- Temnomodra
- Dark Web
- datum
- Podatkovne kršitve
- privzeto
- vsekakor
- Odvisnost
- razporedi
- naprava
- drugačen
- digitalni
- digitalno
- neposredno
- onemogočena
- zaslon
- do
- Dokumentacija
- ne
- Ne
- dont
- prenesi
- prenosov
- dramatično
- pogon
- vozniki
- poimenovan
- med
- e
- Zgodnje
- enostavno
- ekosistem
- vgrajeni
- Poudarek
- omogočajo
- omogočena
- šifriran
- šifriranje
- konec
- Končna točka
- Varnost končne točke
- konča
- dovolj
- zagotovitev
- popolnoma
- oprema
- Enakovredna
- Tudi
- točno
- Primer
- izvršiti
- izvršeno
- pričakuje
- oči
- Dejstvo
- ponaredek
- Feature
- Nekaj
- file
- datoteke
- požarni zid
- za
- iz
- spredaj
- funkcionalnost
- Prihodnost
- splošno
- dobili
- pridobivanje
- Go
- dogaja
- dobro
- zgrabi
- ročaj
- strojna oprema
- Imajo
- naslov
- višina
- tukaj
- Luknja
- hover
- Kako
- HTML
- http
- HTTPS
- Stotine
- i
- Ideja
- if
- slika
- slike
- izvajali
- Pomembno
- Izboljšanje
- in
- vključujejo
- Neodvisni
- injicirati
- negotov
- nameščen
- celovitost
- v
- Ironično
- Izdala
- IT
- ITS
- sam
- skupno
- samo
- Imejte
- tipke
- Vedite
- znano
- pozneje
- Zadnji
- kosilo
- začela
- UČITE
- vsaj
- odhodu
- levo
- legitimno
- Naj
- življenje
- kot
- omejitve
- Navedeno
- seznami
- obremenitev
- kraj aktivnosti
- Znamka
- avtomat
- Ustvarjalci
- zlonamerna programska oprema
- upravljanje
- upravlja
- upravitelj
- ročno
- Proizvajalci
- Marža
- max širine
- Maj ..
- pomeni
- Mehanizem
- Spomin
- zgolj
- Microsoft
- morda
- napaka
- MITM
- modeli
- spremenite
- več
- morajo
- Gola varnost
- Ime
- materni
- potrebno
- Nimate
- potrebujejo
- net
- mreža
- omrežni promet
- Novo
- novice
- št
- normalno
- predvsem
- Očitna
- of
- off
- pogosto
- Staro
- on
- ONE
- na spletu
- samo
- odprite
- o odprtju
- deluje
- operacijski sistem
- Možnost
- or
- izvirno
- Ostalo
- naši
- ven
- lastne
- P&E
- del
- zlasti
- vozovnice
- pot
- paul
- Izvedite
- vztrajno
- nagnjen
- Plain
- platforma
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Točka
- Stališče
- mogoče
- Prispevkov
- potencialno
- močan
- raje
- predstaviti
- primarni
- verjetno
- problem
- Postopek
- Procesi
- Program
- Programmer
- programi
- zaščita
- zagotavljajo
- zagotavlja
- zagotavljanje
- Namen
- dal
- izsiljevalska
- Ransomware napadi
- precej
- Preberi
- Bralec
- res
- priznan
- nanaša
- redni
- povezane
- relativna
- zamenjajte
- obvezna
- raziskovalci
- Reserve
- Pravica
- koren
- krog
- rutinsko
- Run
- tek
- Je dejal
- Enako
- pravijo,
- Zaslon
- zavarovanje
- varnost
- glej
- Zdi se,
- pošlje
- Občutek
- Zaporedje
- Strežniki
- Storitev
- Zasedanje
- nastavite
- nastavitev
- nastavitev
- podpisati
- podpisano
- preprosto
- So
- Software
- trdna
- rešitve
- nekaj
- specifična
- standardna
- začel
- začne
- zagon
- Še vedno
- ukradeno
- trgovina
- Stroga
- taka
- Predlaga
- Podpira
- SVG
- sistem
- sistemi
- povej
- kot
- da
- O
- Prihodnost
- sklep
- njihove
- Njih
- sami
- POTEM
- Tukaj.
- zato
- te
- jih
- mislim
- ta
- čeprav?
- 3
- skozi
- čas
- do
- tudi
- vrh
- Prometa
- Prehod
- pregleden
- Poskušal
- OBRAT
- Obrnjen
- tip
- pod
- dokler
- nezaželen
- Nadgradnja
- posodobitve
- URL
- uporaba
- primeru uporabe
- uporabnik
- Uporabniki
- uporablja
- uporabo
- navadno
- pripomoček
- potrjeno
- prodajalci
- Preverjanje
- preverjanje
- različica
- zelo
- preko
- Obiskovalec
- Obseg
- Ranljivi
- Čakam
- želeli
- je
- način..
- we
- web
- Web-Based
- Weeks
- Dobro
- dobro znana
- so bili
- Kaj
- kdaj
- ali
- ki
- WHO
- katerih
- širina
- bo
- okna
- z
- brez
- spraševati
- beseda
- besede
- deluje
- deluje
- Skrbi
- pisati
- pisanje
- Vi
- Vaša rutina za
- zefirnet