Forscher des auf Firmware spezialisierten Cybersicherheitsunternehmens Eclypsium haben einen versteckten Mechanismus in der UEFI-Firmware von Motherboards des taiwanesischen Herstellers Gigabyte entdeckt. Wie Eclypsium herausfand, initiiert ein Code in der Firmware bei jedem Neustart eines Computers mit dem betroffenen Gigabyte-Motherboard unsichtbar ein Update-Programm, das wiederum eine andere Software herunterlädt und ausführt.
Die Firmware verwendet dieselben Techniken wie andere OEM-Backdoor-ähnliche Funktionen wie die Computrace-Backdoor (auch bekannt als LoJack DoubleAgent), so Eclypsium, die von Bedrohungsakteuren missbraucht wird, und sogar Firmware-Implantate wie Sednit LoJax, MosaicRegressor und Vector-EDK.
Gut gedacht, schlecht gemacht
Laut Eclypsium ist der versteckte Code ein harmloses Tool, um die Firmware des Motherboards auf dem neuesten Stand zu halten. Die Forscher fanden jedoch heraus, dass der Update-Mechanismus mit eklatanten Schwachstellen implementiert wurde. Er lädt Code auf den Rechner des Benutzers herunter, ohne ihn ordnungsgemäß zu authentifizieren, manchmal sogar über eine ungeschützte HTTP-Verbindung statt HTTPS. Dadurch könnte die Installationsquelle durch einen Man-in-the-Middle-Angriff gefälscht werden, der von jedem ausgeführt wird, der die Internetverbindung des Benutzers abfangen kann, beispielsweise von einem unseriösen Wi-Fi-Netzwerk.
In anderen Fällen ist der durch den Mechanismus in der Gigabyte-Firmware installierte Updater so konfiguriert, dass er von einem lokalen NAS (Network Attached Storage Device) heruntergeladen wird. Eclypsium warnt jedoch, dass in diesen Fällen ein böswilliger Akteur im selben Netzwerk den Standort des NAS fälschen könnte, um stattdessen unsichtbar seine eigene Malware zu installieren.
Diese Mainboards sind betroffen
In einem PDF listet Eclypsium 271 Modelle von Gigabyte-Motherboards auf, die den Forschern zufolge betroffen sind. Benutzer, die sehen wollen, welches Motherboard ihr Computer verwendet, können dies überprüfen, indem sie in Windows auf "Start" und dann auf "Systeminformationen" gehen.
Das können Sie tun
Laut Eclypsium wurde Gigabyte bereits über die Sicherheitslücke informiert und arbeite daran, die Probleme zu beheben. Bis es soweit ist, raten die Security-Experten zur erhöhten Vorsicht bei der Verwendung von Rechnern mit betroffenen Motherboards. Außerdem empfehlen sie Benutzern und Administratoren folgende Schutzmaßnahmen, um das Risiko zu minimieren:
Scannen und überwachen Sie Systeme und Firmware-Updates, um betroffene Gigabyte-Systeme und die in der Firmware eingebetteten Backdoor-ähnlichen Tools zu erkennen. Aktualisieren Sie die Systeme auf die neueste validierte Firmware und Software, um Sicherheitsprobleme wie dieses zu beheben.
Überprüfen und deaktivieren Sie die Funktion "APP Center Download & Install" im UEFI/BIOS-Setup auf Gigabyte-Systemen und setzen Sie ein BIOS-Passwort, um bösartige Änderungen zu verhindern.
Netzwerk-Administratoren können laut Eclypsium außerdem die folgenden URLs sperren, um einen Download schädlicher Programme zu verhindern:
http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
https://software-nas/Swhttp/LiveUpdate4