Gigabyte sistemleri, Eclypsium platformu tarafından arka kapı benzeri şüpheli davranışlar sergiledikleri tespit edilmiştir. Bu keşif, Gigabyte sistemlerindeki potansiyel güvenlik açıklarının tespit edilmesinde yakın zamanda gerçekleşen bir gelişmeye işaret ediyor.
Eclypsium platformu, potansiyel tedarik zinciri tehditlerini belirlemek için, özellikle yasal üçüncü taraf teknoloji ürünleri veya güncellemelerinin yeni ve daha önce bilinmeyen uzlaşmalarını hedefleyen buluşsal algılama yöntemleri kullandı.
Bu buluşsal yöntemler, tedarik zincirinde ortaya çıkan tehditleri ortaya çıkarmak ve ele almak için çok önemlidir.
Son bulgular, sistem başlatma sırasında bir Windows yerel yürütülebilir dosyasını düşürdüğü ve çalıştırdığı gözlemlendiğinden, Gigabyte sistemlerindeki üretici yazılımıyla ilgili bir sorunu ortaya çıkardı.
Bu yürütülebilir dosya, ek yükleri güvensiz bir şekilde indirmeye ve yürütmeye devam eder.
Arka Kapılı PC Anakartı
Üretici tarafından kurulan diğer güvenlik açıklarıyla benzer metodolojiler kullanan bu özellik, kötü niyetli aktörlerin istismar ettiği Computrace gibi arka kapıları anımsatan teknikler kullanır.
Ek olarak, aşağıdakiler gibi ürün yazılımı implantlarına benzer: –
- Otur LoJax
- MozaikRegresör
- Vektör-EDK
Bu arka kapının varlığı, belirli işlevler göz önünde bulundurularak kasıtlı olarak tasarlandığını ve uygulandığını gösteriyor. Etkilenen sistemlerden tamamen ortadan kaldırmak için bir ürün yazılımı güncellemesi gerekli olacaktır.
UEFI üretici yazılımı analizi, adlı bir dosyayı ortaya çıkardı. “8ccbee6f7858ac6b92ce23594c9e2563ebcef59414b5ac13ebebde0c715971b2.bin”
Bu dosya, GUID ” tarafından tanımlanan UEFI ürün yazılımı birimi içinde yürütülebilir bir Windows Yerel İkilidir.AEB1671D-019C-4B3B-BA-00-35-A2-E6-28-04-36”
UEFI üretici yazılımı, sistem önyükleme işlemi sırasında diske kaydedilen bu Windows yürütülebilir dosyasını içerir.
Bu yaklaşım, kalıcılık sağlamak için sıklıkla kullanılan UEFI implantlarını ve arka kapıları yansıtır.
UEFI üretici yazılımı önyüklemesinin DXE aşamasında, “WpbtDxe.efi” modülü, Windows yürütülebilir dosyasını belleğe yüklemek için sağlanan GUID’yi kullanır.
Bu dosya daha sonra Windows başlatma işlemi sırasında Windows Oturum Yöneticisi Alt Sistemi (smss.exe) tarafından yürütülen bir WPBT ACPI tablosuna yüklenir.
Yürütülebilir dosyayı WPBT ACPI tablosuna yüklemeden önce, “WpbtDxe.efi” modülü, BIOS/UEFI Kurulumunda “APP Center Download & Install” özelliğinin etkinleştirilip etkinleştirilmediğini doğrular.
.NET tabanlı Windows yürütülebilir dosyası dağıtılır, ayrı bir yürütülebilir yük alır ve yürütür.
Yükün alındığı belirli konum, yapılandırma ayarlarına bağlıdır.
Yürütülebilir dosya, yapılandırması tarafından belirlenen belirlenmiş bir konumdan yükü dinamik olarak alır ve başlatır.
MITM saldırıları yoluyla uzlaşmaya yatkınlığı nedeniyle, ayrıcalıklı kodu güncellemek için düz HTTP kullanmaktan kaçınmak çok önemlidir.
HTTPS etkin seçenekler kullanılmasına rağmen gözlemimiz, uzak sunucu sertifika doğrulamasının uygulanmasında bir kusur olduğunu ortaya koyuyor ve bu da MITM saldırılarını hâlâ mümkün kılıyor.
Bu, uzak sunucu bağlantılarının bütünlüğünü ve güvenliğini sağlamak için geliştirilmiş doğrulama mekanizmalarına olan ihtiyacı vurgulamaktadır.
Yürütülebilir ve Gigabyte araçları, Windows’un kod imzalama gereksinimlerini karşılayan geçerli bir Gigabyte şifreleme imzasına sahip olmasına rağmen, son Volt Typhoon saldırgan uyarısında görüldüğü gibi, Living-off-the-Land teknikleriyle istismar edildiğinde kötü amaçlı kullanıma karşı sınırlı savunma sağlar.
Riskler ve saldırı senaryoları
Aşağıda, tüm risklerden ve saldırı senaryolarından bahsettik: –
- Bir OEM arka kapısının tehdit aktörleri tarafından kötüye kullanılması
- OEM güncelleme altyapısı ve tedarik zincirinde uzlaşma
- UEFI Rootkit’lerini ve İmplantlarını Kullanırken Kalıcılık
- Firmware ve yazılım güncelleme özelliklerine yönelik MITM saldırıları
- Resmi üretici yazılımındaki istenmeyen davranışlar nedeniyle devam eden risk.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin