技嘉曝“類后門”安全漏洞,影響約 700 萬臺設(shè)備
2023年06月03日
The Hacker News 網(wǎng)站披露���, Eclypsium 網(wǎng)絡(luò)安全研究員發(fā)現(xiàn)技嘉售出的 271 款��,近 700 萬片主板中存在”類似后門的“安全漏洞�����。設(shè)備的 UEFI 固件中“潛伏”一個 Windows 可執(zhí)行文件���,并以不安全的格式檢索更新��,以此觸發(fā)隱藏的更新程序�����。Eclypsium 指出潛在攻擊者可以利用這種機制�����,在用戶不知情的情況下安裝惡意程序�,且后續(xù)難以檢測和刪除�����。
Eclypsium 聲稱其在 2023 年 4 月首次檢測到該異?,F(xiàn)象,之后便通知技嘉��,該公司承認并解決了這個問題�。
Eclypsium 公司戰(zhàn)略高級副總裁 John Loucaides 在與 The Hacker News分享中表示 ,大多數(shù)技嘉固件包括一個嵌入 UEFI 固件的 Windows 原生二進制可執(zhí)行文件��,研究人員檢測到的 Windows可執(zhí)行文件被放到磁盤上,并作為 Windows 啟動過程的一部分執(zhí)行�,類似于 LoJack 雙重代理攻擊,該可執(zhí)行文件通過不安全的方法下載并運行其它二進制文件���。
值得一提的是����,根據(jù) Eclypsium 的說法��,Windows可執(zhí)行文件被嵌入 UEFI 固件中���,并作為系統(tǒng)啟動過程的一部分由固件寫入磁盤��,隨后作為更新服務(wù)啟動����。就其本身而言���,基于.NET 的應(yīng)用程序則被配置為通過普通的 HTTP從技嘉更新服務(wù)器下載和執(zhí)行有效載荷,從而使進程暴露于通過受損路由器進行的中間人(AitM)攻擊�����。
Loucaides 補充說,該軟件似乎是作為一個合法的更新應(yīng)用程序��,可能影響 "大約 364 個技嘉系統(tǒng)�,粗略估計有 700 萬臺設(shè)備。
隨著威脅攻擊者不斷尋找到不被發(fā)現(xiàn)或留下最小入侵痕跡的方法����,特權(quán)固件更新機制中的漏洞可能為隱蔽的 UEFI 引導(dǎo)程序和“植入物”鋪平道路,這些程序可以顛覆操作系統(tǒng)中運行的所有安全控制�����。
更糟糕的是�����,由于 UEFI 代碼位于主板上��,即使擦除驅(qū)動器并重新安裝操作系統(tǒng)�����,注入固件的惡意軟件也可能持續(xù)存在���。因此����, 建議用盡快應(yīng)用最新的固件更新,以最大限度地降低潛在的安全風(fēng)險����。此外,用戶還需立刻檢查并禁用 UEFI/BIOS 設(shè)置中的“APP Center 下載和安裝 ”這一功能�,并設(shè)置 BIOS 密碼以阻止惡意更改。
來源:FreeBuf.COM
