พบช่องโหว่แบ็คดอร์บนเฟิร์มแวร์ในระบบ Gigabyte !!
นักวิจัยด้านความปลอดภัยทางไซเบอร์พบช่องโหว่แบ็คดอร์ภายในระบบ Gigabyte ที่ส่งผลให้เฟิร์มแวร์ UEFI ของอุปกรณ์สามารถปล่อยไฟล์สั่งการ Windows และดึงข้อมูลอัพเดตในรูปแบบที่ไม่ปลอดภัยได้ โดยถูกค้นพบครั้งแรกจาก Eclypsium บริษัทรักษาความปลอดภัยเฟิร์มแวร์ในเดือนเมษายน 2566 ซึ่งเฟิร์มแวร์ Gigabyte ส่วนใหญ่มี Windows Native Binary executable ที่ฝังอยู่ภายในเฟิร์มแวร์ UEFI โดยจะใช้ประโยชน์จากไฟล์เรียกทำงาน Windows ที่เมื่อถูกตรวจพบจะถูก drop ลงในดิสก์และดำเนินการโดยเป็นส่วนหนึ่งของกระบวนการเริ่มต้นระบบ Windows คล้ายกับการโจมตีด้วย
เอเจนต์ LoJack สองครั้ง จากนั้นไฟล์เรียกทำงานนี้จะดาวน์โหลดและรันไบนารีเพิ่มเติมด้วยวิธีการที่ไม่ปลอดภัย
โปรแกรมปฏิบัติการตาม Eclypsium ถูกฝังอยู่ในเฟิร์มแวร์ UEFI และเขียนลงดิสก์ด้วยเฟิร์มแวร์ซึ่งเป็นส่วนหนึ่งของกระบวนการบู๊ตระบบ และเปิดตัวเป็นบริการอัปเดตในเวลาต่อมา ในส่วนของแอปพลิเคชันที่ใช้ .NET ได้รับการกำหนดค่าให้ดาวน์โหลดและดำเนินการเพย์โหลดจากเซิร์ฟเวอร์อัปเดต Gigabyte ผ่าน HTTP ธรรมดา ดังนั้น จึงเผยกระบวนการ Adversary-in-the-Middle (AitM) ผ่านทาง เราเตอร์ที่ถูกโจมตี สำหรับซอฟต์แวร์ที่ถูกเขียนมานั้น ดูเหมือนว่าจะมีจุดประสงค์ให้เป็นแอปพลิเคชันอัปเดตที่ถูกต้องตามกฎหมาย ซึ่งอาจส่งผลกระทบต่อระบบประมาณ 364 Gigabyte โดยมีอุปกรณ์ประมาณ 7 ล้านเครื่องโดยประมาณ
เนื่องจากผู้คุกคามมองหาวิธีที่จะไม่ถูกตรวจจับอยู่เสมอและทิ้งร่องรอยการบุกรุกให้น้อยที่สุด ช่องโหว่ในกลไกการอัพเดตเฟิร์มแวร์ที่ได้รับสิทธิพิเศษอาจปูทางไปสู่ชุดบูทคิท UEFI และการฝังตัวที่สามารถผ่านการควบคุมความปลอดภัยทั้งหมดที่ทำงานในระบบปฏิบัติการ ยิ่งไปกว่านั้น เนื่องจากรหัส UEFI อยู่บนเมนบอร์ด มัลแวร์ที่ถูก injected เข้าไปในเฟิร์มแวร์จะสามารถคงอยู่ได้ แม้ว่าไดรฟ์จะถูกล้างข้อมูลและติดตั้งระบบปฏิบัติการใหม่ องค์กรต่างๆ ควรได้รับการอัพเดตเฟิร์มแวร์ล่าสุดเพื่อลดความเสี่ยงที่อาจเกิดขึ้น นอกจากนี้ ขอแนะนำให้ตรวจสอบและปิดใช้งานคุณสมบัติ APP Center Download & Install ในการตั้งค่า UEFI/BIOS และตั้งรหัสผ่าน BIOS เพื่อยับยั้งการเปลี่ยนแปลงที่เป็นอันตราย อย่างไรก็ตาม แอปพลิเคชันอัปเดตที่ไม่ปลอดภัยสูงซึ่งสำรองข้อมูลไว้ในเฟิร์มแวร์เพื่อดาวน์โหลดและเรียกใช้ payload โดยอัตโนมัติจะไม่สูญหายไป
