Programiści Gigabyte zaktualizowali oprogramowanie sprzętowe 270 modeli płyt głównych, aby naprawić niedawno odkrytą lukę. Badacze uznali ten błąd za backdoora, który można wykorzystać do zainstalowania złośliwego oprogramowania.
Przypomnę ci to Problem został ogłoszony w zeszłym tygodniu przez ekspertów z Zaćmienie firma, która specjalizuje się w bezpieczeństwie oprogramowania sprzętowego i sprzętu. Następnie badacze ustalili, że oprogramowanie układowe wielu Gigabajt płyty główne zawierają plik binarny systemu Windows, który jest wykonywany podczas uruchamiania systemu operacyjnego. Plik ten następnie pobiera i uruchamia kolejny ładunek otrzymany z serwerów Gigabyte.
Zauważono, że ładunek jest ładowany przez niepewne połączenie (HTTP lub niepoprawnie skonfigurowany HTTPS) a legalność pliku nie jest w żaden sposób sprawdzana. To jest, hakerzy mogą wykorzystać niezabezpieczone połączenie między systemem a serwerami Gigabyte, aby sfałszować ładunek i wdrożyć a człowiek w środku atak.
Przypomnę, że o tym też rozmawialiśmy Cyberprzestępcy dostarczający backdoory do komputerów ofiar za pomocą NVIDIA kierowca.
Eclypsium utworzyło listę ponad 270 Modele płyt głównych Gigabyte którego dotyczy problem, i przedstawił swój raport. Eksperci podsumowali, że backdoor jest prawdopodobnie obecny na milionach urządzeń.
Jak teraz donoszą inżynierowie Gigabyte, problem został naprawiony. Błąd dotyczył tabeli binarnej platformy Windows (WPBT) funkcja, co pozwala twórcom oprogramowania sprzętowego automatycznie wyodrębnić plik wykonywalny z obrazu i uruchomić go w systemie operacyjnym.
Płyty główne Gigabyte wykorzystują funkcję WPBT do instalowania aplikacji do automatycznej aktualizacji w %SystemRoot%system32GigabyteUpdateService.exe w przypadku nowych instalacji systemu Windows. Ta funkcja jest domyślnie włączona i można ją wyłączyć w ustawieniach BIOS-u.
Producent udostępnił właśnie aktualizacje oprogramowania płyty głównej dla Intel procesory (400/500/600/700 seria) I AMD procesory (400/500/600 seria).
Łatka dodaje bardziej rygorystyczne kontrole bezpieczeństwa podczas uruchamiania systemu, w tym ulepszona weryfikacja plików i ich podpisów pobieranych ze zdalnych serwerów, jak również standardową weryfikację certyfikatów dla serwerów zdalnych.
Według firmy, ulepszenia zapobiegną wprowadzeniu złośliwego kodu i zapewnią, że wszelkie pobierane pliki pochodzą z serwerów posiadających ważne i zaufane certyfikaty.
Przypomnę, że to też pisały media RobbinHooda Ransomware instaluje podatne na ataki sterowniki Gigabyte na komputerach ofiar.
Zostaw komentarz