ファームウェアを専門とするサイバーセキュリティ会社 Eclypsium は、Gigabyte マザーボードにシステムへのマルウェアのインストールにつながる可能性のある、いくつかの隠されたバックドアを発見しました。
いくつかのGigabyteマザーボードには悪意のあるバックドアが搭載されており、脆弱性を引き起こす可能性がある
ファームウェアには、システムの起動時にアップデータ ソフトウェアを起動し、必要に応じてインターネットに接続し、マザーボードのファームウェアの最新バージョンをダウンロードするコードが含まれています。Eclypsium は、Gigabyte の実装は危険であり、ハッカーがこの脆弱性を利用して被害者の PC をマルウェアに感染させる可能性があると指摘しました。アップデータはマザーボードのファームウェアに含まれているため、ここでは削除することはできません。この欠陥は、UEFI ファームウェアを更新しようとする Windows スタートアップ プログラムで確認されました。この実行可能ファイルは、安全でないギガバイト サーバーからソフトウェアをダウンロードし、適切な認証を行わずにインストールしました。研究ブログの投稿によると、このセキュリティ上の欠陥により、ハッカーが OEM バックドアを利用して、ユーザーのコンピュータに直接、または Gigabyte のサーバーに侵入することによって、インプラントなどの悪意のあるソフトウェアをインストールできる可能性があります。
Eclypsium によると、アップデータは必要な認証を行わずにユーザーの PC にコードをダウンロードします。追加の検証技術や暗号デジタル署名検証は使用しません。その結果、Web 接続は Machine-in-the-Middle (MITM) 攻撃を受けやすくなり、Gigabyte のサーバーとのデータ転送が危険にさらされます。
Eclypsium は、アップデータがインターネットだけでなく、ファームウェアの更新のためにローカル NAS (Network Attached Storage) デバイスにもアクセスでき、これがスプーフィング攻撃につながる可能性があることを発見しました。同社の調査によると、Gigabyte アップデータ アプリケーションは、ファームウェアのアップデートのために 3 つの別個の Web サイトと通信していることが明らかになりました。
- http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://software-nas/Swhttp/LiveUpdate4
同社は、影響を受けるモデルの広範なリストにも言及した。リストには最大 271 ギガバイトのマザーボードが含まれます。AMD-400 シリーズなどの古いモデルは広範囲に影響を受けます。ただし、この問題は、新しい AMD-600 シリーズとIntel-700 シリーズ モデルでは発生しないようです。
この問題を心配しているのであれば、Gigabyte がサポートしてくれるので、心配する必要はありません。同社は検証プロセスを強化するための新しい BIOS アップデートをリリースしました。同社が変えた点は次のとおりです。
- 署名検証: GIGABYTE は、リモート サーバーからダウンロードされたファイルの検証プロセスを強化しました。この強化された検証により、コンテンツの整合性と正当性が保証され、攻撃者による悪意のあるコードの挿入の試みが阻止されます。
- 特権アクセス制限: GIGABYTE は、リモート サーバー証明書の標準暗号検証を有効にしました。これにより、有効で信頼できる証明書を持つサーバーからのみファイルがダウンロードされることが保証され、保護層が強化されます。
Gigabyte は BIOS アップデートがバックドアの問題に対応するためであるとは言及していませんが、この変更は Gigabyte がこの問題に気づいていたことを示唆しています。Gigabyte は、Intel 500/400 や AMD 600 シリーズなどの古いマザーボード用の BIOS アップデートもリリースしており、消費者層のほとんどをカバーしています。
Gigabyte BIOS アップデートとは別に、すぐに結果が必要な場合に備えて、Eclypsium はいくつかの一時的な修正を提供しています。同社は、アップデートが自動的にインストールされないように、マザーボードのファームウェア内の「APP Center Download & Install」機能を無効にすることをユーザーに提案している。ユーザーは BIOS レベルのパスワードを設定してセキュリティを強化し、望ましくないアクティビティを阻止できます。上記の 3 つの Web サイトをブロックして、アップデータがアクセスできないようにすることもできます。
(Source:wccftech)
この記事へのコメントはありません。