GIGABYTE, kötü amaçlı yazılım yüklemek için istismar edilebilecek 270’in üzerinde anakarttaki güvenlik açıklarını gidermek için ürün yazılımı güncellemeleri yayınladı.
Donanım yazılımı güncellemeleri, Windows’ta bir yazılım otomatik güncelleme uygulamasını kurmak için kullanılan meşru bir GIGABYTE özelliğinde kusurlar bulan donanım güvenlik şirketi Eclypsium’un bir raporuna yanıt olarak geçen Perşembe günü yayınlandı.
Windows, Windows Platform İkili Tablosu (WPBT) adı verilen, üretici yazılımı geliştiricilerinin üretici yazılımı görüntüsünden yürütülebilir bir dosyayı otomatik olarak çıkarmasına ve işletim sisteminde yürütmesine olanak tanıyan bir özellik içerir.
“WPBT, satıcıların ve OEM’lerin bir .exe UEFI katmanındaki program. Windows her önyükleme yaptığında, UEFI’ye bakar ve .exe. Windows ortamına dahil olmayan programları çalıştırmak için kullanılır” diye açıklıyor Microsoft.
GIGABYTE anakartları, yeni Windows kurulumlarında ‘%SystemRoot%\system32\GigabyteUpdateService.exe’ye otomatik güncelleme uygulaması yüklemek için WPBT özelliğini kullanır.
Varsayılan olarak etkinleştirildiğinde, bu özellik BIOS ayarlarında devre dışı bırakılabilir. çevre birimleri sekme > APP Merkezi İndirme ve Yükleme Yapılandırma yapılandırma seçeneği.
Ancak Eclypsium, bu süreçte saldırganların ortadaki adam (MiTM) saldırılarında kötü amaçlı yazılım dağıtmak için potansiyel olarak yararlanabilecekleri çeşitli güvenlik açıkları keşfetti.
Eclypsium, üretici yazılımı düştüğünde ve GIGABYTEUpdateService.exe’yi çalıştırdığında, yürütülebilir dosyanın, otomatik güncelleme yazılımının en son sürümünü indirmek ve yüklemek için üç GIGABYTE URL’sinden birine bağlanacağını tespit etti.
Sorun, yazılımı indirmek için kullanılan URL’lerden ikisinin güvenli olmayan HTTP bağlantılarını kullanmasıdır ve bunun yerine kötü amaçlı yazılım yüklemek için MiTM saldırılarında ele geçirilebilir.
Ayrıca araştırmacılar, GIGABYTE’ın indirilen dosyalar için herhangi bir imza doğrulaması gerçekleştirmediğini, bunun da kötü amaçlı veya kurcalanmış dosyaların yüklenmesini engelleyebileceğini keşfetti.
Yanıt olarak GIGABYTE, bu sorunları çözmek için Intel 400/500/600/700 ve AMD 400/500/600 serisi anakartlar için aygıt yazılımı güncellemeleri yayınladı.
“Sistem güvenliğini güçlendirmek için GIGABYTE, işletim sistemi önyükleme işlemi sırasında daha sıkı güvenlik kontrolleri uygulamıştır. Bu önlemler, kullanıcılara gelişmiş koruma sağlayarak olası kötü amaçlı etkinlikleri tespit etmek ve önlemek için tasarlanmıştır:
1. İmza Doğrulaması: GIGABYTE, uzak sunuculardan indirilen dosyalar için doğrulama sürecini desteklemiştir. Bu gelişmiş doğrulama, saldırganların kötü amaçlı kod ekleme girişimlerini engelleyerek içeriğin bütünlüğünü ve meşruiyetini sağlar.
2. Ayrıcalık Erişimi Sınırlamaları: GIGABYTE, uzak sunucu sertifikalarının standart kriptografik doğrulamasını etkinleştirmiştir. Bu, dosyaların yalnızca geçerli ve güvenilir sertifikalara sahip sunuculardan indirilmesini garanti ederek ek bir koruma katmanı sağlar.” – GIGABYTE.
Bu güvenlik açıklarından kaynaklanan riskler muhtemelen düşük olsa da, tüm GIGABYTE anakart kullanıcılarına güvenlik düzeltmelerinden yararlanmak için en son ürün yazılımı güncellemelerini yüklemeleri önerilir.
Ayrıca, GIGABYTE otomatik güncelleme uygulamasını kaldırmak isterseniz, önce ‘APP Center Download & Install Configuration’ı kapatmalısınız. ayarını BIOS’ta yapın ve ardından yazılımı Windows’ta kaldırın.