查看原文
其他

技嘉固件组件可被滥用为后门,影响700万台设备,易触发供应链攻击

代码卫士 2023-06-09

 聚焦源代码安全,网罗国内外最新资讯!

作者:Lucian Constantin

编译:代码卫士


专栏·供应链安全

数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。


随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。


为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。


注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。



研究人员提醒称,由个人计算机硬件厂商 Gigabyte (技嘉)制造的很多款母板中的 UEFI 固件,以一种不安全的方式将可执行代码注入到 Windows 内核中,可被攻击者滥用于攻陷系统。复杂的 APT 组织正在在野滥用类似实现。


安全公司 Eclypsium 发布报告指出,“虽然调查尚未证实遭特定威胁行动者的利用,但一款难以传播的广为传播的活跃后门为使用 Gigabyte 系统的组织机构带来供应链风险。” 这一问题影响700万台设备。


可执行恶意软件注入


研究人员在平台触发了对看似与 BIOS/UEFI rootkit 一致的行为的检测后,发现了该易受攻击的实现。这类 rootkit 也被称为 bootkit,它们非常危险,且由于位于底层系统固件中以及每次启动时会在操作系统中注入代码,因此难以消除。这意味着重装操作系统甚至修改硬盘驱动均无法清除该感染,而会再次出现。

该UEFI 固件本身是一款具有不同模块的迷你操作系统,在引导序列传递给引导程序和已安装的操作系统之前,处理硬件初始化。这种将代码从固件注入操作系统内存的过程此前就曾用于多种特性实现中。例如,某些具有反盗特性的 BIOS允许用户远程追踪并擦除被盗计算机,方法就是让 BIOS 代理Absolute LoJack将一款应用程序注入到操作系统中,即使重装也不例外。

研究人员早在2014年就曾警告称,LoJack Windows 代理可被滥用与恶意服务器连接。2018年,研究人员发现,APT28 滥用了这一技术。滥用情况与 Gigabyte 的固件模块类似,都是在系统启动过程中将一款 Windows 可执行文件注入到 WPBT ACPI 表中。Windows 会话管理器子系统 (smss.exe) 自动执行并在 Windows system32 文件夹 GigabyteUpdateService.exe 中写入文件。BIOS 的目的是在 BIOS 特性 APP Center Download & Install 启用时,自动部署 Gigabyte 系统和驱动更新应用。


与下载服务器的不安全连接


Gigabyte 更新应用通过三个 URL 自动搜索下载并执行的更新。其中一个更新是通过 HTTPS 连接的 Gigabyte 下载服务器,另外一个是同样的服务器但连接只使用了 HTTP,第三个是不符合要求的域名 software-nas (也可是局域网设备)的URL。

其中两种文件下载方式问题重重。未加密的HTTP连接易受中间人攻击。位于同样网络或控制网络上路由器的攻击者可将系统定向一台受控制的服务器,而应用程序无法了解它是否与真实的 Gigabyte 服务器通信。

第三个URL方法同样存在问题,甚至更容易遭滥用,因为受陷系统上同样网络中的攻击者可部署一台 web 服务器并将计算机的名称设为 software-nas,甚至无需使用 DNS 欺骗或其它技术。最后,HTTPS 连接也易受中间人攻击,因为该更新应用不会正确实现服务器证书验证,也就是说攻击者仍然可以欺骗服务器。

另外一个问题是,即使 Gigabyte 工具和更新经由合法签名进行了数字化签名,该固件仍然不会对任何可执行文件执行数字化签名验证或认证,因此攻击者可轻易滥用该特性。

研究人员指出,“近年来,发现新 UEFI rootkit 的速度大幅提高,如 LoJax (2018)、MosaicRegressor (2020)、FinSpy (2021)、ESPectre (2021)、MoonBounce (2022)、CosmicStrand (2022) 以及 BlackLotus (2023)。多数用于启用其它基于操作系统的恶意软件。这些 Gigabyte 固件镜像以及持续释放的 Windows 可执行文件也可实现同样的攻击场景。一般而言,如上植入会使原生 Windows 可执行文件看似合法的更新工具。在 MosaicRegressor 的情况中,该 Windows payload 被命名为 ‘IntelUpdater.exe’。”

研究人员建议使用 Gigabyte 系统的组织机构禁用 UEFI 中的 App Center Download & Install 特性,并拦截防火墙中的三个 URL。组织机构也可查找这些 URL 的连接,检测哪些系统易受影响,不过应当更广范围地查看源自其它厂商类似特性的连接。即使并未部署在固件中,但个人计算机制造商预装在计算机中的程序也可能引入漏洞。这与联想应用 Superfish 部署可遭滥用的不可信根证书的情况一样。”





代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

MSI UEFI 签名密钥遭泄漏 恐引发“灾难性”供应链攻击

OilRig APT 组织或在中东地区发动更多 IT 供应链攻击

“木马源”攻击影响多数编程语言的编译器,将在软件供应链攻击中发挥巨大作用GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞
流行的 NPM 包依赖关系中存在远程代码执行缺陷
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件
微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制
找到软件供应链的薄弱链条
GitHub谈软件供应链安全及其重要性
揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司开源软件漏洞安全风险分析
开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析
集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市
热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码
GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥
因服务器配置不当,热门直播平台 Twitch 的125GB 数据和源代码被泄露
彪马PUMA源代码被盗,称客户数据不受影响



原文链接

https://www.csoonline.com/article/3698189/gigabyte-firmware-component-can-be-abused-as-a-backdoor.html


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存