(相关资料图)
技嘉也在上传 beta BIOS 修复程序,这应该可以缓解这个问题。更新,2023 年 6 月 2 日:技嘉已发布官方声明并与我们联系,表示已将测试版 BIOS 选项上传到技嘉官方网站,该网站解决了 Eclypsium 报告中强调的安全问题。它声称英特尔 600 和 700 系列以及 AMD 400 和 500 系列固件更新已经发布,英特尔 400 和 500 系列以及 AMD 600 系列 beta BIOS 版本将很快推出。然而,快速检查一下 Eclypsium 列表中的几块 B550 主板,就会发现它们仍然缺少新的 BIOS 更新,尽管我已经看到了适用于 Intel 主板的新固件。在 Asus 崩溃之后,我正在等待确认使用 beta BIOS 不会影响您的主板保修的回复。就技嘉为弥补安全漏洞所做的工作而言,它表示如下:为加强系统安全,技嘉在操作系统启动过程中实施了更严格的安全检查。这些措施旨在检测和防止任何可能的恶意活动,为用户提供增强的保护:1. 签名验证:技嘉加强了对从远程服务器下载的文件的验证过程。这种增强的验证可确保内容的完整性和合法性,阻止攻击者插入恶意代码的任何企图。2. 权限访问限制:技嘉已启用远程服务器证书的标准密码验证。这保证文件仅从具有有效和可信证书的服务器下载,确保增加一层保护。原始故事,2023 年 6 月 1 日:现在不是成为主板制造商的好时机。首先,华硕可能会因为其固件中过于激进的电压设置(甚至是所谓的“修复”)而烧坏你的 Ryzen 处理器,现在技嘉被指控使用与试图侵入系统的“威胁演员”相同的后门技术。该漏洞已被安全公司Eclypsium(通过Wired)发现,并指出在野外使用相同的隐形固件更新机制的数百万技嘉主板。 “我们正在与 Gigabyte 合作解决他们应用中心功能的这种不安全实施,”其报告中写道。“为了保护组织免受恶意行为者的侵害,我们还以比典型漏洞披露更快的时间表公开披露此信息和防御策略。”Eclypsium 已经发布了一份受影响的主板列表(pdf 警告),但基本上,如果您拥有现代技嘉主板,那么您当前的主板很可能会出现在这个广泛的列表中。据报道,名单上有 271 种不同的型号,但我没有计算在内,因为 pdf 文件超过三页和三列非常小的字体。可以说,这是很多董事会。您运行的是 AMD 还是 Intel 系统也无关紧要;该漏洞影响两个平台。从理论上讲,它所需要的只是与您的机器位于同一网络上的某个人拦截技嘉的不安全更新程序并将其指向与标准固件存储库不同的 URL。其中最糟糕的部分之一是,在三个可能的下载位置中,其中一个使用的是普通 HTTP 地址,而不是安全得多的 HTTP S。Eclypsium 表示,它目前不认为存在对该漏洞的积极利用,但“一个难以删除的活跃广泛的后门给拥有技嘉系统的组织带来了供应链风险。”它列出了潜在的风险和影响如下:威胁行为者滥用 OEM 后门:以前,威胁行为者利用了 PC 固件中内置的合法但不安全/易受攻击的“OEM 后门”软件。最值得注意的是,Sednit 组织(APT28、FancyBear)利用 Computrace LoJack伪装成合法的笔记本电脑防盗功能。OEM 更新基础设施和供应链的妥协:技嘉在其网站上确实有此功能的文档,因此它可能是合法的,但我们无法确认技嘉内部发生了什么。2021 年 8 月,技嘉经历了RansomEXX组织的关键数据泄露事件,随后又在 2021 年 10 月发生了AvosLocker 组织的另一次泄露事件。使用 UEFI rootkit 和植入程序的持久性: UEFI Rootkit 和植入程序是现有的一些最隐蔽和最强大的恶意软件形式。它们驻留在主板上的固件或存储介质的 EFI 系统分区内,并在操作系统之前执行,从而使它们能够完全颠覆运行在更高层的操作系统和安全控制。此外,由于大多数 UEFI 代码存在于主板上而不是存储驱动器上,因此即使擦除驱动器并重新安装操作系统,UEFI 威胁也很容易持续存在。从 LoJax (2018)、MosaicRegressor (2020)、FinSpy (2021)、ESPecter (2021)、MoonBounce (2022)、CosmicStrand (2022) 和黑莲花(2023)。其中大部分用于启用其他基于操作系统的恶意软件的持久性。这个技嘉固件映像和持续丢弃的 Windows 可执行文件启用了相同的攻击场景。通常,上述植入程序使它们的本机 Windows 可执行文件看起来像合法的更新工具。对于 MosaicRegressor,Windows 负载被命名为“IntelUpdater.exe”对固件和软件更新功能的 MITM 攻击:此外,更新过程的不安全性为 MITM 技术打开了大门,通过受损的路由器、同一网段上的受损设备、DNS 中毒或其他网络操纵。还需要注意的是,第三个连接选项 https://software-nas/Swhttp/LiveUpdate4 不是完全限定的域名,而是可能在本地网络上的机器名。这意味着本地子网上的攻击者可以诱使植入程序连接到他们的系统,而无需 DNS 欺骗。官方固件中不受欢迎的行为导致的持续风险:隐藏在 UEFI 或其他固件中的后门很难删除。即使删除了后门可执行文件,固件也会在系统下次启动时再次删除它。在尝试从 Lenovo 笔记本电脑中删除 Computrace LoJack 和Superfish工具时,已经证明了这一挑战。整个过程发生在 Windows 启动过程中,技嘉更新程序可以在没有用户输入的情况下关闭并下载,然后从互联网上的不同位置执行有效负载。事实上,其中一个位置位于不安全的 HTTP 地址上,这使得它很容易受到所谓的中间机器攻击的危害。尽管 Eclypsium 还指出,即使在 HTTPS 位置上,实际的远程证书验证(理论上应该使其更安全的部分)也没有正确实施,这也使它们容易受到同样类型的攻击。如果您在基于 Gigabyte 的系统上运行一个组织,这将是一场安全噩梦,尽管对于单机 PC 游戏玩家来说,这可能不是一个问题。但是,知道不安全的 Wi-Fi 网络可能会导致在您一无所知的情况下将任何内容加载到您的计算机上,这仍然不是一种好感觉。为了帮助保护您的个人计算机,您可以采取的关键措施是深入了解您的 PC 的 BIOS 并禁用“APP 中心下载和安装”功能。您还可以设置 BIOS 密码,这也将有助于避免将来您未选择进行的任何更改。您可以在短暂的启动窗口中使用通常的 Del 或 F2 键敲击进入 BIOS,或者在按住 Shift 键的同时从 Windows 重新启动您的 PC。这将带您进入启动选项屏幕,您可以在其中进入 UEFI BIOS。我们已联系技嘉征求意见,并会在收到任何回复后立即更新。标签:
相关新闻