固件和硬件安全公司Eclypsium的研究人员近日发现计算机硬件巨头技嘉(Gigabyte)生产的数百种主板型号包含后门功能,影响数百万计算机设备,可能对企业构成重大安全风险。
Eclypsium透露,该后门的发现与技嘉主板功能的异常行为有关,这些异常行为在Eclypsium的平台中触发了警报。
研究人员发现许多技嘉主板系统上的固件会丢弃操作系统启动时执行的Windows二进制文件。被丢弃的文件会下载并运行从技嘉服务器获取的另一个有效载荷。
该有效载荷通过不安全的连接(HTTP或配置不正确的HTTPS)下载,并且文件的合法性未经验证。
没有证据表明后门已被用于恶意目的,并且该功能似乎与技嘉应用程序中心有关,该中心在技嘉官网上有正式记录。
然而,Eclypsium表示,目前很难确定该后门是否从技嘉内部植入(无论是恶意内部人员还是由于公司的系统遭到入侵)。也很难排除后门没有被植入供应链的其他地方。
Eclypsium警告说,即使该功能是合法的,最终也可能会被黑客滥用。熟练的黑客在攻击中利用此类工具的情况并不少见。
在很多案例中,UEFI rootkit被用来帮助Windows恶意软件在受感染的系统中长期驻留,而且此类固件后门很难删除。
Eclypsium还警告说,黑客可以利用系统和技嘉服务器之间的不安全连接,通过中间人(MitM)攻击来替换有效载荷。
Eclypsium已经公布了270多个受影响的技嘉主板型号的列表,这意味着数百万台设备可能存在后门。Eclypsium表示,它一直在与技嘉合作解决这个问题,可能需要固件更新。
参考链接:
https://eclypsium.com/blog/supply-chain-risk-from-gigabyte-app-center-backdoor/
声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。