De firmware van ASUS- en ASRock-moederborden is kwetsbaar voor man-in-the-middle-aanvallen, zo hebben onderzoekers van securitybedrijf Eclypsium tijdens de Black Hat-conferentie in Las Vegas aangetoond. De kwetsbaarheid bevindt zich in het updatemechanisme van de ASRock- en ASUS-firmware en dan specifiek in de Unified Extensible Firmware Interface (UEFI).

"Het remote-gedeelte is erg belangrijk, het is de eerste keer dat iemand publiekelijk een remote exploit tegen UEFI heeft geopenbaard", aldus Yuriy Bulygin, ceo en oprichter van Eclypsium tegenover Threatpost. "Veel onderzoek vereist dat er kwaadaardige code op het systeem draait, maar wij hebben ontdekt dat deze kwetsbaarheden in netwerken op afstand zijn te misbruiken."

Firmware zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Het updatemechanisme dat ASUS en ASRock gebruiken configureert het netwerk via het dynamic host configuration protocol en verstuurt vervolgens een onversleuteld http-verzoek naar een remote server om te kijken of er een nieuwere versie van de UEFI-firmware beschikbaar is.

Door het het niet gebruiken van https kan het verzoek worden onderschept en is het mogelijk om die naar een andere server door te sturen. Deze kwaadaardige server kan vervolgens een verzoek naar het updatemechanisme op de client terugsturen dat een buffer overflow veroorzaakt waardoor een aanvaller willekeurige code kan uitvoeren. Volgens de onderzoekers is het zo mogelijk om malware naar het flash-geheugen te schrijven en het systeem te infecteren. De onderzoekers stellen dat zowel ASRock als ASUS zijn ingelicht. ASRock heeft het updatemechanisme inmiddels verwijderd, maar ASUS zou nog steeds met een oplossing moeten komen.