Millionen von PC-Motherboards wurden mit einer Firmware-Hintertür verkauft – Ars Technica

Malware, die sich in der UEFI-Firmware eines Computers versteckt, dem Deep-Code, der einem Computer sagt, wie er sein Betriebssystem laden soll, ist zu einem getarnten böswilligen Trick im Toolkit der Hacker geworden. Aber wenn ein Motherboard-Hersteller seine eigene versteckte Hintertür in die Firmware von Millionen von Computern einbaut – und diese versteckte Hintertür nicht ordnungsgemäß verriegelt – erledigt er praktisch die Arbeit der Hacker für sich.

Forscher des auf Firmware spezialisierten Cybersicherheitsunternehmens Eclypsium gaben heute bekannt, dass sie einen versteckten Mechanismus in der Firmware von Motherboards des taiwanesischen Herstellers Gigabyte entdeckt haben, dessen Komponenten häufig in Gaming-PCs und anderen Hochleistungs-PCs verwendet werden. Wenn ein Computer mit einem betroffenen Gigabyte-Motherboard neu gestartet wird, stellt Eclypsium fest, dass der Code in der Firmware des Motherboards unsichtbar ein auf dem Computer ausgeführtes Update-Programm startet und anschließend ein anderes herunterlädt und ausführt.

Während Eclypsium sagt, dass der versteckte Code ein harmloses Werkzeug sein soll, um die Firmware des Motherboards auf dem neuesten Stand zu halten, stellten die Forscher fest, dass er unsicher implementiert wurde, was es ermöglichen könnte, den Mechanismus zu kapern und zur Installation von Malware statt der beabsichtigten zu verwenden Gigabyte-Software. Und da der Updater auf der Firmware des Computers, also außerhalb des Betriebssystems, läuft, ist es für Benutzer schwierig, ihn zu entfernen oder ihn überhaupt zu erkennen.

sagt John Lucidis, der Strategie und Forschung bei Eclypsium leitet. „Das Konzept, unter dem Endbenutzer zu arbeiten und dessen Gerät zu übernehmen, passt bei den meisten Menschen nicht gut.“

darin Blogbeitrag über ForschungEclypsium listet 271 typische GIGABYTE-Motherboards auf, von denen die Forscher sagen, dass sie betroffen sind. Loucaides fügt hinzu, dass Benutzer, die wissen möchten, welches Motherboard ein Computer verwendet, dies überprüfen können, indem sie zu Windows Start und dann zu Systeminformationen gehen.

Eclypsium hat nach eigenen Angaben den versteckten Firmware-Mechanismus von Gigabyte beim Scannen von Kundencomputern nach Firmware-basiertem Schadcode gefunden, einem immer beliebter werdenden Tool, das von raffinierten Hackern eingesetzt wird. Im Jahr 2018 wurden beispielsweise Hacker, die im Auftrag des russischen Militärgeheimdienstes GRU arbeiteten, bei der stillen Installation erwischt Firmware-basierte Anti-Diebstahl-Software LoJack auf den Geräten der Opfer als Spionagetaktik. Zwei Jahre später wurden staatlich geförderte chinesische Hacker entdeckt Verwenden Sie ein Firmware-basiertes Spyware-Tool neu Entwickelt von der Hacking-Firma Hacking Team, um die Computer von Diplomaten und NGO-Mitarbeitern in Afrika, Asien und Europa ins Visier zu nehmen. Die Eclypsium-Forscher waren überrascht, als sie sahen, dass automatisierte Scans den Update-Mechanismus von Gigabyte aufdeckten, um einige zwielichtige Verhaltensweisen wie staatlich geförderte Hacking-Tools auszuführen – sie versteckten sich in der Firmware und installierten Software, die stillschweigend Code aus dem Internet herunterlädt.

Allein der Gigabyte-Updater könnte Benutzer alarmiert haben, die Gigabyte nicht vertrauen, dass er mit einem fast unsichtbaren Tool unbemerkt Code auf ihren Geräten installiert – oder die befürchten, dass der Gigabyte-Mechanismus von Hackern ausgenutzt werden könnte, die in den Motherboard-Hersteller eindringen, um dessen verborgenen Zugriff auszunutzen Angriff auf die Software-Lieferkette. Eclypsium entdeckte jedoch auch, dass der Update-Mechanismus mit eklatanten Sicherheitslücken ausgestattet war, die eine Kompromittierung ermöglichen könnten: Es lädt Code auf den Computer eines Benutzers herunter, ohne ihn ordnungsgemäß zu authentifizieren, manchmal sogar über eine ungeschützte HTTP-Verbindung anstelle von HTTPS. Dies würde es ermöglichen, die Installationsquelle durch einen Man-in-the-Middle-Angriff zu umgehen, der von jedem ausgeführt wird, der die Internetverbindung des Benutzers abfangen könnte, beispielsweise ein gefälschtes Wi-Fi-Netzwerk.

In anderen Fällen ist der durch den Mechanismus installierte Updater in der Firmware von Gigabyte so konfiguriert, dass er von einem lokalen NAS-Gerät (Network Attached Storage) heruntergeladen werden kann. Diese Funktion scheint für Unternehmensnetzwerke gedacht zu sein, um Updates zu verwalten, ohne dass alle ihre Maschinen auf das Internet zugreifen müssen. Eclypsium warnt jedoch davor, dass in diesen Fällen ein böswilliger Akteur im selben Netzwerk sich als NAS ausgeben könnte, um stattdessen unsichtbar seine eigene Malware zu installieren.

Eclypsium sagt, es arbeite mit Gigabyte zusammen, um seine Ergebnisse dem Motherboard-Hersteller mitzuteilen, und Gigabyte habe angekündigt, die Probleme zu beheben. Gigabyte antwortete nicht auf die mehrfachen Anfragen von WIRED nach einem Kommentar zu den Eclypsium-Ergebnissen.

Selbst wenn Gigabyte sein eigenes Firmware-Problem behebt – schließlich ist das Problem auf ein Gigabyte-Tool zurückzuführen, das Firmware-Updates automatisieren soll – weist Loucaides von Eclypsium darauf hin, dass Firmware häufig aktualisiert wird Stillschweigender Abbruch auf den Computern der BenutzerDies liegt in vielen Fällen an der Komplexität und der Schwierigkeit, Firmware und Hardware aufeinander abzustimmen. „Ich denke immer noch, dass dies in den kommenden Jahren ein ziemlich häufiges Problem auf GIGABYTE-Motherboards sein wird“, sagt Lukaides.

Angesichts der Millionen potenziell betroffener Geräte sei die Entdeckung von Eclypsium „alarmierend“, sagt Rich Smith, Chief Security Officer beim auf Lieferketten spezialisierten Cybersicherheits-Startup Crash Override. Smith veröffentlichte eine Suche nach Firmware-Schwachstellen und überprüfte die Ergebnisse für Eclypsium. Er vergleicht die Situation mit dem Sony-Rootkit-Skandal Mitte der 2000er Jahre. Sony versteckte den DRM-Code auf CDs, die unsichtbar auf den Computern der Benutzer installiert wurden, und schuf so eine Schwachstelle, die Hacker zum Verstecken ihrer Malware nutzten. „Man kann Techniken verwenden, die traditionell von böswilligen Akteuren verwendet werden, aber das war nicht akzeptabel, es ging zu weit“, sagt Smith. „Ich kann nicht sagen, warum Gigabyte diese Methode zur Bereitstellung seiner Software gewählt hat. Aber für mich fühlt es sich so an, als würde man im Firmware-Bereich eine ähnliche Grenze überschreiten.“

Smith räumt ein, dass Gigabyte mit dem versteckten Firmware-Tool möglicherweise keine böswillige oder betrügerische Absicht verfolgt hat. Indem sie die Schwachstellen jedoch im unsichtbaren Code belassen, der unter dem Betriebssystem vieler Computer liegt, untergraben sie dennoch eine wesentliche Ebene des Vertrauens der Benutzer in ihre Hardware. „Hier gibt es keine Absicht, nur Schmutz. Aber ich möchte nicht, dass jemand meine Firmware schmutzig schreibt“, sagt Smith. „Wenn Sie Ihrer Firmware nicht vertrauen, bauen Sie Ihr Haus in den Sand.“

Diese Geschichte erschien ursprünglich wired.com.