Мир железа Gigabyte устранила бэкдор в своих материнских платах

Разработчики Gigabyte обновили прошивку 270 моделей материнских плат, чтобы устранить недавно обнаруженную уязвимость. Исследователи сочли этот баг бэкдором, который мог использоваться для установки вредоносных программ.

Напомню, что о проблеме на прошлой неделе заявили эксперты компании Eclypsium, специализирующейся на безопасности прошивок и оборудования. Тогда исследователи определили, что прошивка многих материнских плат Gigabyte содержит Windows-бинарник, который выполняется при загрузке операционной системы. Затем этот файл загружает и запускает другую полезную нагрузку, полученную с серверов Gigabyte.


Отмечалось, что пейлоад загружается через небезопасное соединение (HTTP или неправильно настроенный HTTPS) и легитимность файла никак не проверяется. То есть хакеры могут воспользоваться незащищенным соединением между системой и серверами Gigabyte, чтобы подменить полезную нагрузку и реализовать атаку типа man-in-the-middle.

К своему отчету Eclypsium приложила список более чем 270 моделей материнских плат Gigabyte, затронутых проблемой. Эксперты резюмировали, что бэкдор, вероятно, присутствует на миллионах устройств.

Как теперь сообщают инженеры Gigabyte, проблема была устранена. Баг был связан с функцией Windows Platform Binary Table (WPBT), которая позволяет разработчикам прошивок автоматически извлекать исполняемый файл из образа и запускать его в операционной системе.

«WPBT позволяет поставщикам и OEM-производителям запускать .exe программу на уровне UEFI. Каждый раз, когда Windows загружается, она просматривает UEFI и запускает .exe», — поясняется в документации Microsoft.

Материнские платы Gigabyte используют функцию WPBT для установки приложения для автоматического обновления в %SystemRoot%\system32\GigabyteUpdateService.exe в новых установках Windows. Эта функция включена по умолчанию, ее можно отключить в настройках BIOS.

Теперь производитель выпустил обновления прошивки материнских плат для процессоров Intel (серии 400/500/600/700) и процессоров AMD (серии 400/500/600). Патч добавляет более строгие проверки безопасности во время запуска системы, включая улучшенную проверку файлов и их подписи, загружаемых с удаленных серверов, а также стандартную проверку сертификатов для удаленных серверов.

По словам компании, усовершенствования воспрепятствуют внедрению вредоносного кода и гарантируют, что любые загружаемые файлы поступают с серверов с действительными и надежными сертификатами.

06.06.2023
https://xakep.ru/2023/06/06/gigabyte-patch/​