Forscher des Firmware- und Hardware-Sicherheitsunternehmens Eclypsium haben herausgefunden, dass Hunderte von Motherboard-Modellen des taiwanesischen Computerkomponenten-Riesen Gigabyte über Backdoor-Funktionen verfügen, die ein erhebliches Risiko für Unternehmen darstellen könnten.
Die Hintertür wurde von Eclypsium aufgrund des mit der Funktionalität verbundenen Verhaltens entdeckt, was eine Warnung auf der Plattform des Unternehmens auslöste.
Konkret stellten die Forscher fest, dass die Firmware auf vielen Gigabyte-Systemen eine Windows-Binärdatei ablegt, die beim Hochfahren des Betriebssystems ausgeführt wird. Die abgelegte Datei wird dann heruntergeladen und führt eine weitere Nutzlast aus, die von Gigabyte-Servern abgerufen wurde.
Die Nutzlast wird über eine unsichere Verbindung – HTTP oder falsch konfiguriertes HTTPS – heruntergeladen und die Legitimität der Datei wird nicht überprüft.
Es gibt keine Hinweise darauf, dass die Hintertür für böswillige Zwecke ausgenutzt wurde und die Funktion scheint mit dem Gigabyte App Center in Zusammenhang zu stehen, was auf der Website des Unternehmens dokumentiert ist.
Eclypsium sagte jedoch, es sei schwierig, schlüssig auszuschließen, dass es sich um eine bösartige Hintertür handelt, die von Gigabyte aus installiert wurde – entweder von einem böswilligen Insider oder als Folge einer Kompromittierung der Systeme des Unternehmens. Es ist auch schwierig, definitiv auszuschließen, dass die Hintertür irgendwo in der Lieferkette eingebaut wurde.
Selbst wenn die Funktion legitim sei, warnte das Cybersicherheitsunternehmen, dass sie von Bedrohungsakteuren missbraucht werden könnte. Es ist nicht ungewöhnlich, dass erfahrene Hacker solche Tools bei ihren Angriffen nutzen.
UEFI-Rootkits wurden in vielen Fällen verwendet, um sicherzustellen, dass Windows-Malware auf einem kompromittierten System bestehen bleiben kann, und diese Hintertür kann zu diesem Zweck nützlich sein. Darüber hinaus kann es schwierig sein, diese Art von Firmware-Hintertüren zu entfernen.
Eclypsium warnte außerdem davor, dass Hacker die unsichere Verbindung zwischen dem System und den Gigabyte-Servern ausnutzen könnten, um die Nutzlast durch einen Man-in-the-Middle-Angriff (MitM) zu ersetzen.
Eclypsium hat eine Liste von mehr als 270 betroffenen Motherboard-Modellen veröffentlicht – das deutet darauf hin, dass wahrscheinlich Millionen von Geräten über die Hintertür verfügen. Das Unternehmen sagte, es habe mit Gigabyte zusammengearbeitet, um das Problem zu beheben, was wahrscheinlich ein Firmware-Update erfordern werde.
Sicherheitswoche hat Gigabyte um einen Kommentar gebeten und wird diesen Artikel aktualisieren, wenn das Unternehmen antwortet.
Es ist bekannt, dass Bedrohungsakteure bei ihren Angriffen Gigabyte-Produkte ins Visier nehmen, unter anderem mit ausgefeilten UEFI-Rootkits.
Verwandt: Sicherheitslücken in AMI BMC können viele Rechenzentren und Clouds Angriffen aussetzen
Verwandt: Secure Boot Bypass-Fehler betreffen Bootloader vieler Geräte, die im vergangenen Jahrzehnt hergestellt wurden
