Milhões de placas-mãe Gigabyte foram vendidas com backdoor de firmware
O atualizador da Gigabyte sozinho pode ter levantado preocupações para os usuários que não confiam na Gigabyte para instalar código silenciosamente em suas máquinas com uma utensílio quase invisível – ou que temem que o mecanismo da Gigabyte possa ser explorado por hackers que comprometem o obreiro da placa-mãe para explorar seu chegada oculto em um ataque à masmorra de suprimentos de software. Mas o Eclypsium também descobriu que o mecanismo de atualização foi implementado com vulnerabilidades gritantes que podem permitir que ele seja sequestrado: ele baixa o código para a máquina do usuário sem autenticá-lo adequadamente, às vezes até mesmo por uma conexão HTTP desprotegida, em vez de HTTPS. Isso permitiria que a manadeira de instalação fosse falsificada por um ataque man-in-the-middle realizado por qualquer pessoa que pudesse interceptar a conexão de Internet do usuário, porquê uma rede Wi-Fi não autorizada.
Em outros casos, o atualizador instalado pelo mecanismo no firmware da Gigabyte é configurado para ser baixado de um dispositivo de armazenamento conectado à rede sítio (NAS), um recurso que parece ser projetado para redes de negócios para governar atualizações sem que todas as suas máquinas alcancem para a internet. Mas o Eclypsium adverte que, nesses casos, um agente mal-intencionado na mesma rede pode falsificar a localização do NAS para instalar de forma invisível seu próprio malware.
A Gigabyte não respondeu aos vários pedidos de comentários da WIRED sobre as descobertas do Eclypsium. Mas um dia depois que o Eclypsium revelou o problema do firmware, a Gigabyte anunciou atualizações para seu firmware com “verificação aprimorada” do código que seu programa atualizador baixa para máquinas que usam suas placas-mãe. De conformidade com a Gigabyte, esse código agora é assinado e verificado criptograficamente, “impedindo qualquer tentativa de invasores de inserir código malicioso”, e o servidor do qual eles baixaram também é autenticado com um certificado criptográfico. Notas de lançamento que acompanha a atualização afirma que ela “corrige as vulnerabilidades do assistente de download” descobertas pelo Eclypsium.
Mesmo agora que a Gigabyte lançou uma correção para seu problema de firmware – enfim, o problema decorre de uma utensílio Gigabyte destinada a automatizar as atualizações de firmware – Loucaides, da Eclypsium, aponta que as atualizações de firmware muitas vezes são abortadas silenciosamente nas máquinas dos usuários, em muitos casos devido a sua dificuldade e a dificuldade de combinar firmware e hardware. “Ainda acho que isso acabará sendo um problema bastante generalizado nas placas Gigabyte nos próximos anos”, diz Loucaides.
Dados os milhões de dispositivos potencialmente afetados, a invenção do Eclypsium é “preocupante”, diz Rich Smith, que é o diretor de segurança da startup de cibersegurança Crash Override, focada na masmorra de suprimentos. Smith publicou pesquisas sobre vulnerabilidades de firmware e revisou as descobertas do Eclypsium. Ele compara a situação com a Escândalo de rootkit da Sony em meados dos anos 2000. A Sony ocultou o código de gerenciamento de direitos digitais em CDs que se instalava de forma invisível nos computadores dos usuários e, ao fazê-lo, criava uma vulnerabilidade que os hackers usavam para ocultar seu malware. “Você pode usar técnicas tradicionalmente usadas por agentes mal-intencionados, mas isso não era tolerável, passou dos limites”, diz Smith. “Não sei explicar por que a Gigabyte escolheu esse método para entregar seu software. Mas para mim, parece que cruza uma risca semelhante no espaço do firmware.”
Smith reconhece que a Gigabyte provavelmente não teve nenhuma intenção maliciosa ou enganosa em sua utensílio de firmware oculta. Mas, ao deixar as vulnerabilidades de segurança no código invisível que está sob o sistema operacional de tantos computadores, ele destrói uma estrato fundamental de crédito que os usuários têm em suas máquinas. “Não há nenhuma intenção cá, unicamente desleixo. Mas não quero ninguém escrevendo meu firmware que seja displicente”, diz Smith. “Se você não confia em seu firmware, está construindo sua morada na areia.”
Atualização 9h30, terça-feira, 6 de junho de 2023: Em seguida a publicação, a Gigabyte anunciou o lançamento de atualizações para seu firmware. A empresa diz que as medidas de segurança adicionais protegerão melhor os usuários de suas placas-mãe afetadas contra “tentativas de invasores de inserir código malicioso”.
[ad_2]
Comentários 0