28 3 月, 2024

Eddiba Sports

从亚洲的Eddiba获取最新的亚洲新闻:重大新闻,专题报道,分析和特别报道以及来自亚洲大陆的音频和视频。

数以百万计的技嘉主板有后门? 实际结果如何? • 记录

指示 您可能已经看到一些关于供应链后门进入数百万千兆字节主板的头条新闻。 这是内幕。

问题是什么?

技嘉提供多种主板型号,随附 申请中心 该实用程序应该使固件、驱动程序和系统相关软件保持最新状态。 它检查更新并提供获取和安装它们的机会,从而使人们不必手动执行或深入研究他们的 BIOS 设置。 问题在于,技嘉实施此方法的方式可能会使人们面临感染风险。

那个怎么样?

技嘉 UEFI 固件随其主板一起提供,在系统启动时执行许多操作。 在 Windows 计算机上,这涉及悄悄地将固件中包含的 Windows 软件写入磁盘 GigabyteUpdateService.exe 在操作系统中 system32 文件夹并运行它。 EXE文件。 本身作为 Windows 服务,然后从 Internet 获取另一个可执行文件并运行它。 第二个程序从以下位置之一获取:

  • hxxp://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
  • hxxps://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
  • hxxps://software-nas/Swhttp/LiveUpdate4

使用的位置取决于它的配置方式。 总之,这似乎是 App Center 检测和提供系统更新以供安装的机制的一部分。 假设获取的代码以提升的权限运行。

这如何感染我的 Windows 计算机?

好吧,如果有人能够拦截这些下载并用恶意软件替换获取的代码,他们将实现代码在受害者 Windows 机器上的执行,并且他们将能够控制它。 这样的攻击者可以使用 DNS 欺骗来发出请求 mb.download.gigabyte.com 它们被重定向到恶意服务器,该服务器分发恶意软件而不是合法的 Gigabyte 可执行文件。

其中一个 URL 使用 HTTP,这更容易被特权攻击者拦截,而另外两个使用 HTTPS,尽管没有验证远程服务器的证书,所以同样,中间人 (MITM) 攻击是可能的。 必须有人竭尽全力才能实现这一目标。 这并非不可能,但可能有更简单的方法来感染某人。

攻击者可能会确保带来的程序通过 Windows 代码签名要求。 除此之外,固件不会执行任何检查以查看它是否正在下载合法的二进制文件。 通常,这不是最安全的过程,它可能导致恶意代码执行和间谍软件在毫无戒心的陌生人设备上的传播。

哦。 谁发现了这个弱点?

Eclypsium 的研究人员剥离了这项技术 关于这个问题的咨询在这里 本周早些时候。 需要明确的是,他们没有发现任何实际的恶意软件或不法分子滥用它,只是发现了 exe 的意外下降。 在 UEFI 固件的文件系统上,并尝试将其连接到外部世界。

他们没有发现该漏洞正在被积极利用的证据,只是技嘉固件的工作方式不安全,让潜在黑客的日子好过一些。

他们得出结论:“威胁行为者可以利用它通过 MITM 或受损的基础设施不断感染易受攻击的系统。”

我能做些什么来保护自己?

目前,您可以确保关闭 App Center 中的下载和安装功能,这会阻止固件运行其更新服务,从而阻止从 Internet 获取代码。 Eclypsium 认为默认情况下应该关闭此功能,但他们表示他们发现在他们必须移交的设备上启用了该功能。

此外,如果您能够阻止与上述 URL 的传出连接,这可能是目前的一个好主意。 但请记住,它可能会中断 App Center 更新过程。

我怎么知道我是否受到影响?

Eclypsium 列出了 271 款受影响的主板 这里 [PDF].

技嘉应该怎么说?

日志 技嘉征求意见; 如果我们听到任何消息,我们会通知您。 Eclypsium 表示正在与制造商合作解决该漏洞。

我是否应该带一个认为允许 UEFI 固件自动和静默地将 Windows 服务安装到我的圣诞贺卡列表中的 system32 文件夹中的人?

是的。

我应该恐慌吗?

号®

READ  第一批 iPhone 15 和 iPhone 15 Pro 订单已送达澳大利亚和新西兰的客户