Специалисты по кибербезопасности обнаружили опасную уязвимость в прошивке материнских плат Gigabyte, которые широко используются в игровых и высокопроизводительных компьютерах. Уязвимость позволяет прошивке тайно запускать программу, которая скачивает и выполняет другой код с интернета без проверки подлинности и шифрования. Уязвимость может привести к заражению компьютера вредоносным ПО или его захвату злоумышленниками.
Уязвимость была обнаружена исследователями из компании Eclypsium, которая специализируется на анализе прошивок. Они выяснили, что при каждой перезагрузке компьютера с материнской платой Gigabyte код в прошивке запускает скрытый механизм обновления, который работает в операционной системе и загружает дополнительный исполняемый файл с серверов Gigabyte или с локального сетевого хранилища (NAS).
По словам исследователей, этот механизм предназначен для поддержания актуальности прошивки материнской платы, но реализован небезопасным образом. Во-первых, он не проверяет цифровую подпись загружаемого файла, что позволяет подменить его на зловредный. Во-вторых, он иногда использует незащищенное соединение HTTP вместо HTTPS, что упрощает перехват трафика и проведение атаки “человек посередине”. В-третьих, он работает без ведома и согласия пользователя, что нарушает принципы прозрачности и контроля.
Исследователи сообщили о своих находках Gigabyte и предложили ей исправить уязвимость. Однако официального ответа от компании пока не поступало.
По данным Eclypsium, уязвимость затрагивает 271 модель материнской платы Gigabyte, что теоретически означает миллионы устройств. Среди них – как старые модели для процессоров Intel 8-го поколения и Zen 2 Ryzen, так и новые для 13-го поколения чипов Intel и Zen 4 от AMD.
Уязвимость в прошивке материнской платы особенно опасна тем, что ее нельзя устранить даже полной переустановкой операционной системы или очисткой диска. Прошивка хранится в материнской плате и может повторно заражать компьютер при каждой загрузке.
Это не первый случай, когда прошивки используются для скрытого внедрения вредоносного кода в компьютеры. Ранее такие техники применяли хакеры из России и Китая для шпионажа за дипломатами и сотрудниками НПО.
В 2018 году, например, было обнаружено, что хакеры, работающие от имени российской военной разведки ГРУ, незаметно устанавливали программное обеспечение LoJack на основе прошивки на машины жертв в качестве шпионской тактики. Китайские хакеры, спонсируемые государством, были замечены два года спустя, когда они перепрофилировали шпионский инструмент на основе встроенного программного обеспечения, созданный хакерской фирмой Hacking Team для атак на компьютеры дипломатов и сотрудников неправительственных организаций в Африке, Азии и Европе. Исследователи Eclypsium были удивлены, увидев, что их автоматизированное сканирование помечает механизм обновлений Gigabyte для выполнения некоторых из тех же сомнительных действий, что и спонсируемые государством хакерские инструменты – скрытие в прошивке и скрытая установка программы, которая загружает код из Интернета.
Пользователям компьютеров с материнскими платами Gigabyte рекомендуется как можно скорее обновить прошивку до последней версии, отключить функцию “APP Center Download & Install” в настройках BIOS и установить пароль на BIOS.