В сотнях моделей материнских плат Gigabyte нашли бэкдор

[balamutang]

Уязвимость уровня хакера с солонкой

[freeExec]

Не совсем, тебе не надо вскрывать корпус или знать пароль админа, достаточно воткнуть свой LAN и перезапустить тачку.

[Stalker_RED]

Или плюс один способ взломать комп добравшись до роутера.

[Pyhesty]

при этом роутер может быть на любом участке маршрута до указанных сайтов? То есть любая спецслужба или хакер (на роутере дома или провайдера) могут скоммутировать ваш запрос к конкретному сайту и заставить выполнить на вашем ПК нужный код?

[Sunrise357]

Получается даже хуже: любое устройство по-середине может выполнить mitm, так как соединения не шифрованы.

[Pyhesty]

чудненько...

[AndreyAlin]

Но ведь она не может сама просто так перепрошиться, есть джампер на материнке стоит в положении "запрет"?

[Solovej]

Это запрет для пользователя, а не для настоящих дядь.

[dartraiden]

Но ведь она не может сама просто так перепрошиться, есть джампер на материнке стоит в положении "запрет"?

Такого джампера на материнках Gigabyte, равно как и прочих популярных производителей, нет. Он нужен буквально двум с половиной пользователям, поэтому его реализация банально не окупится.

[jpegqs]

Уязвимость связана с программой обновления, которую Gigabyte использует для обеспечения актуальности прошивки материнской платы.

Что такое "программа обновления"? Уже второй раз за сегодня эту новость вижу (было на другом сайте), и читается как лютый бред для любого специалиста. То ли перевели плохо, то ли выкинули часть информации. Если это Windows утилита, то я бы такую никогда бы не устанавливал, а Линукс пользователям ничего не грозит. Или это зашито в BIOS, который сам себя обновляет?

программа обновления находится внутри прошивки материнской платы

Ну наконец-то, еще бы не называли это программой, прошивка не ОС всё таки. Нельзя такой перевод делать, это функция или код обновления в прошивке, что надо писать сразу, а не называть это "программой".

У меня есть материнка из списка, и никогда она сама не обновлялась.

[Stalker_RED]

На сайте три утилиты - для DOS, для Windows, и для "не выходя из BIOS-а". Какая из них подвержена уязвимости - пока не ясно. Возможно все три.

[jpegqs]

Нашел в BIOS настройку "APP Center Download & Install", о которой ранее даже не подозревал. Нашел через поиск по Alt-F, не знаю где она в норме должна быть.

Отключил, но она у меня явно не работала, потому что по сайту Gigabyte обновление было уже более чем полугода и само не обновилось.

И это название "APP Center" - звучит как название Windows программы от Gigabyte. Как будто настройки утилиты для Windows хранятся в BIOS. Windows я никогда не использовал с этой материнкой, только Linux. Так что как по мне утверждение что "программа обновления находится внутри прошивки материнской платы" - неверное. Видимо обновляет утилита для Windows, иначе у меня бы BIOS обновлялся сам, так как опция включена по умолчанию. Или роутер как-то блочит эти запросы к сайтам.

В общем нифига не понятно.

[Re1ter]

Здесь описано гораздо подробнее
https://eclypsium.com/blog/supply-chain-risk-from-gigabyte-app-center-backdoor/

И, судя по тексту, эта настройка позволяет вмешиваться в процесс загрузки ОС, что делает её крайне опасной.

[DaemonGloom]

Там оно веселее. Это часть прошивки материнки, которая исполняется в Винде после загрузки системы и устанавливает виндовый сервис, который потом и обращается в сеть. Причём и по http, и по https - но в последнем случае проверка сертификатов не реализована корректно.

Кусок оригинального исследования

An initial analysis of the affected UEFI firmware identified the following file:

8ccbee6f7858ac6b92ce23594c9e2563ebcef59414b5ac13ebebde0c715971b2.bin

This is a Windows Native Binary executable embedded inside of UEFI firmware binary in a UEFI firmware volume with the following GUID:

AEB1671D-019C-4B3B-BA-00-35-A2-E6-28-04-36. 

This Windows executable is embedded into UEFI firmware and written to disk by firmware as part of the system boot process, a technique commonly used by UEFI implants and backdoors. During the Driver Execution Environment (DXE) phase of the UEFI firmware boot process, the “WpbtDxe.efi” firmware module uses the above GUID to load the embedded Windows executable file into memory, installing it into a WPBT ACPI table which will later be loaded and executed by the Windows Session Manager Subsystem (smss.exe) upon Windows startup. The “WpbtDxe.efi” module checks if the “APP Center Download & Install” feature has been enabled in the BIOS/UEFI Setup before installing the executable into the WPBT ACPI table. Although this setting appears to be disabled by default, it was enabled on the system we examined.

This executable uses the Windows Native API to write the contents of an embedded executable to the file system at the following location:

 %SystemRoot%\system32\GigabyteUpdateService.exe

It then sets registry entries to run this executable as a Windows Service. The mechanism described here is similar to the methods used by other UEFI firmware implants such as LoJax, MosiacRegressor, MoonBounce, and Vector-EDK, referenced previously. 

The dropped Windows executable is a .NET application. It downloads and runs an executable payload from one of the following locations, depending on how it’s been configured:

• http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4

• https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4

• https://software-nas/Swhttp/LiveUpdate4

Plain HTTP (the first bullet above) should never be used for updating privileged code as it is easily compromised via Machine-in-the-middle (MITM) attacks. However, we noticed that even when using the HTTPS-enabled options, remote server certificate validation is not implemented correctly. Therefore, MITM is possible in that case also. 

[jpegqs]

Отлично, значит пользователям Linux не о чем переживать, что хорошо было бы упоминать всем кто эту новость публикует (на Хабре и других сайтах тоже). Чтобы не наводить лишней паники.

[xkb45bkc4]

В сотнях моделей материнских плат Gigabyte нашли бэкдор

Позвольте, но бэкдор это дырка которая явно заложена производителями или код был внедрен злоумышленниками при взломе производителя плат, телефонов и тд.

Здесь мы имеем кривой кусок кода, который можно использовать для взлома, что дальше по тексту и называется уязвимостью.

Доказать злой умысел производителя не представляется возможным и наверное где-то там за такие заголовки можно нарваться на судебное разбирательство о клевете. В общем надоели уже такие заголовки, заходишь за сенсацией века, а там очередная уязвимость.

[jetexe]

1. уязвима может быть только Windows
2. возможный эксплойт только в случае MITM, что даёт +1 вектор к атаке и-то, кмк, не самый серьёзный при такой ситуации
3. скачеваемый бинарь подписан (говорится в оригинальном репорте), но:

but this does little to offset malicious use, especially if exploited using Living-off-the-Land techniques (like in the recent alert regarding Volt Typhoon attackers).

что бы это ни значило

[xkb45bkc4]

Я вот такое нагуглил.

Unlike traditional malware attacks, which leverage signature files to carry out the attack plan, LOTL attacks are fileless — meaning they do not require an attacker to install any code or scripts within the target system. Instead, the attacker uses tools that are already present in the environment, such as PowerShell, Windows Management Instrumentation (WMI) or the password-saving tool, Mimikatz, to carry out the attack.
Using native tools makes LOTL attacks far more difficult to detect, especially if the organization is leveraging traditional security tools that search for known malware scripts or files. Because of this gap in the security toolset, the hacker is often able to dwell undetected in the victim’s environment for weeks, months or even years.