Gigabyte

พบช่องโหว่แบ็คดอร์บนเฟิร์มแวร์ในระบบ Gigabyte !! 

By admin News

โปรแกรมปฏิบัติการตาม Eclypsium ถูกฝังอยู่ในเฟิร์มแวร์ UEFI

นักวิจัยด้านความปลอดภัยทางไซเบอร์พบช่องโหว่แบ็คดอร์ภายในระบบ Gigabyte
ที่ส่งผลให้เฟิร์มแวร์ UEFI ของอุปกรณ์สามารถปล่อยไฟล์สั่งการ Windows
และดึงข้อมูลอัพเดตในรูปแบบที่ไม่ปลอดภัยได้ โดยถูกค้นพบครั้งแรกจาก Eclypsium
บริษัทรักษาความปลอดภัยเฟิร์มแวร์ในเดือนเมษายน 2566

ซึ่งเฟิร์มแวร์ Gigabyte ส่วนใหญ่มี Windows Native Binary executable
ที่ฝังอยู่ภายในเฟิร์มแวร์ UEFI โดยจะใช้ประโยชน์จากไฟล์เรียกทำงาน Windows
ที่เมื่อถูกตรวจพบจะถูก drop ลงในดิสก์และดำเนินการโดยเป็นส่วนหนึ่งของกระบวนการเริ่มต้นระบบ Windows
คล้ายกับการโจมตีด้วย  เอเจนต์ LoJack สองครั้ง จากนั้นไฟล์เรียกทำงานนี้จะดาวน์โหลดและรันไบนารีเพิ่มเติม
ด้วยวิธีการที่ไม่ปลอดภัย

โปรแกรมปฏิบัติการตาม Eclypsium ถูกฝังอยู่ในเฟิร์มแวร์ UEFI
และเขียนลงดิสก์ด้วยเฟิร์มแวร์ซึ่งเป็นส่วนหนึ่งของกระบวนการบู๊ตระบบ
และเปิดตัวเป็นบริการอัปเดตในเวลาต่อมา ในส่วนของแอปพลิเคชันที่ใช้ .NET
ได้รับการกำหนดค่าให้ดาวน์โหลดและดำเนินการเพย์โหลดจากเซิร์ฟเวอร์อัปเดต Gigabyte
ผ่าน HTTP ธรรมดา ดังนั้น จึงเผยกระบวนการ Adversary-in-the-Middle (AitM)
ผ่านทาง เราเตอร์ที่ถูกโจมตี

สำหรับซอฟต์แวร์ที่ถูกเขียนมานั้น ดูเหมือนว่าจะมีจุดประสงค์ให้เป็นแอปพลิเคชันอัปเดตที่ถูกต้องตามกฎหมาย
ซึ่งอาจส่งผลกระทบต่อระบบประมาณ 364 Gigabyte โดยมีอุปกรณ์ประมาณ 7 ล้านเครื่องโดยประมาณ
เนื่องจากผู้คุกคามมองหาวิธีที่จะไม่ถูกตรวจจับอยู่เสมอและทิ้งร่องรอยการบุกรุกให้น้อยที่สุด
ช่องโหว่ในกลไกการอัพเดตเฟิร์มแวร์ที่ได้รับสิทธิพิเศษอาจปูทางไปสู่ชุดบูทคิท UEFI
และการฝังตัวที่สามารถผ่านการควบคุมความปลอดภัยทั้งหมดที่ทำงานในระบบปฏิบัติการ

ยิ่งไปกว่านั้น เนื่องจากรหัส UEFI อยู่บนเมนบอร์ด
มัลแวร์ที่ถูก injected เข้าไปในเฟิร์มแวร์จะสามารถคงอยู่ได้
แม้ว่าไดรฟ์จะถูกล้างข้อมูลและติดตั้งระบบปฏิบัติการใหม่

องค์กรต่างๆ ควรได้รับการอัพเดตเฟิร์มแวร์ล่าสุดเพื่อลดความเสี่ยงที่อาจเกิดขึ้น
นอกจากนี้ ขอแนะนำให้ตรวจสอบและปิดใช้งานคุณสมบัติ APP Center Download & Install
ในการตั้งค่า UEFI/BIOS และตั้งรหัสผ่าน BIOS เพื่อยับยั้งการเปลี่ยนแปลงที่เป็นอันตราย
อย่างไรก็ตาม แอปพลิเคชันอัปเดตที่ไม่ปลอดภัยสูงซึ่งสำรองข้อมูลไว้ในเฟิร์มแวร์เพื่อดาวน์โหลด
และเรียกใช้ payload โดยอัตโนมัติจะไม่สูญหายไป

Ref: https://thehackernews.com/2023/05/critical-firmware-vulnerability-in.html 

 

Share