Siber güvenlik araştırmacıları, Gigabyte sistemlerinde “arka kapı benzeri davranış” buldular ve bunun, aygıtların UEFI ürün yazılımının bir Windows yürütülebilir dosyasını bırakmasına ve güncellemeleri güvenli olmayan bir biçimde almasına olanak sağladığını söylüyorlar.
Ürün yazılımı güvenlik firması Eclypsium, anormalliği ilk olarak Nisan 2023’te tespit ettiğini söyledi. Gigabyte o zamandan beri sorunu kabul etti ve sorunu ele aldı.
Eclypsium’da stratejiden sorumlu kıdemli başkan yardımcısı John Loucaides, The Hacker News’e “Gigabyte aygıt yazılımlarının çoğu, UEFI aygıt yazılımının içine gömülü bir Windows Native Binary yürütülebilir dosyası içerir” dedi.
“Algılanan Windows yürütülebilir dosyası diske bırakılır ve LoJack çift ajan saldırısına benzer şekilde Windows başlatma işleminin bir parçası olarak yürütülür. Bu yürütülebilir dosya daha sonra güvenli olmayan yöntemlerle ek ikili dosyaları indirir ve çalıştırır.”
Loucaides, “Yalnızca yazarın niyeti, bu tür bir güvenlik açığını kötü niyetli bir arka kapıdan ayırt edebilir,” diye ekledi.
Yürütülebilir dosya, Eclypsium’a göre, UEFI üretici yazılımına gömülür ve sistem önyükleme işleminin bir parçası olarak sabit yazılım tarafından diske yazılır ve ardından bir güncelleme hizmeti olarak başlatılır.
.NET tabanlı uygulama, kendi adına, Gigabyte güncelleme sunucularından bir yükü düz HTTP üzerinden indirip yürütecek ve böylece süreci güvenliği ihlal edilmiş bir yönlendirici aracılığıyla ortadaki düşman (AitM) saldırılarına maruz bırakacak şekilde yapılandırılmıştır.
Loucaides, yazılımın “meşru bir güncelleme uygulaması olarak tasarlanmış gibi göründüğünü” söyledi ve sorunun “kabaca 7 milyon cihazla yaklaşık 364 Gigabyte sistemi” etkileyebileceğini belirtti.
Tehdit aktörleri sürekli olarak tespit edilmeden kalmanın ve minimum izinsiz giriş izi bırakmanın yollarını ararken, ayrıcalıklı üretici yazılımı güncelleme mekanizmasındaki güvenlik açıkları, işletim sistemi düzleminde çalışan tüm güvenlik kontrollerini alt üst edebilecek gizli ürün yazılımı implantlarının yolunu açabilir.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Koltuğumu Kurtar!
Daha da kötüsü, UEFI kodu anakartta bulunduğundan, sabit yazılıma enjekte edilen kötü amaçlı yazılım, sürücüler silinse ve işletim sistemi yeniden yüklense bile varlığını sürdürebilir.
Potansiyel riskleri en aza indirmek için kuruluşlara en son üretici yazılımı güncellemelerini uygulamaları önerilir. Ayrıca UEFI/BIOS Kurulumunda “APP Center Download & Install” özelliğini inceleyip devre dışı bırakmanız ve kötü amaçlı değişiklikleri engellemek için bir BIOS parolası belirlemeniz önerilir.
Loucaides, “Firmware güncellemelerinin son kullanıcılar tarafından kabulü çok düşük,” dedi. “Bu nedenle, aygıt yazılımındaki bir güncelleme uygulamasının yardımcı olabileceğini düşünmek kolay.”
“Ancak, bir yükü otomatik olarak indirmek ve çalıştırmak için ürün yazılımına yedeklenen, son derece güvensiz bir güncelleme uygulamasının ironisi kaybolmadı.”