image

Firmware Asus- en Gigabyte-moederborden besmet met UEFI-rootkit

maandag 25 juli 2022, 14:54 door Redactie, 19 reacties

Onderzoekers hebben in firmware-images van Asus- en Gigabyte-moederborden malware aangetroffen waarmee aanvallers vergaande controle over het besmette systeem krijgen. De UEFI-rootkit wordt al jaren gebruikt, maar wordt nu pas beschreven. Hoe de firmware-images besmet konden worden is onbekend. Alle geïnfecteerde firmware-images waren voor moederborden met Intels H81-chipset. Dit is een oudere moederbordchipset die eind 2013 werd gelanceerd.

De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben.

De malware in de besmette firmware wijzigt de werking van de Windows kernel loader en schakelt beveiligingsmaatregelen zoals Windows PatchGuard uit, dat juist aanpassingen aan de Windows-kernel moet voorkomen. Het uiteindelijke doel van de UEFI-malware is het laden van shellcode in het geheugen van de besmette computer. Deze shellcode maakt verbinding met de server van de aanvallers en laadt de uiteindelijke "payload" op het systeem.

De vraag blijft hoe de aanvallers erin zijn geslaagd om de firmware van malware te voorzien. Aangezien alle aangepaste firmware-images voor de H81-chipset waren vermoeden onderzoekers van antivirusbedrijf Kaspersky dat een kwetsbaarheid het injecteren van de rootkit mogelijk maakt. Het zou kunnen dat de aanvallers eerder toegang tot de aangevallen systemen hadden. Vervolgens hebben ze de moederbord-firmware gedownload, aangepast en weer geüpload.

De meeste infecties met de UEFI-rootkit zijn waargenomen in China, Vietnam, Iran en Rusland. Het is hierbij belangrijk om te vermelden dat het alleen gaat om Kaspersky-klanten die de gratis versie van de antivirussoftware gebruikten. Het werkelijke aantal infecties wereldwijd is dan ook onbekend, aangezien andere antivirusbedrijven nog geen melding van de malware hebben gemaakt.

Volgens de onderzoekers is de belangrijkste conclusie dat de UEFI-rootkit al sinds eind 2016 in gebruik lijkt te zijn, lang voordat er in het openbaar over UEFI-aanvallen werd geschreven. "Dit roept de vraag op: als de aanvallers destijds hier al gebruik van maakten, wat gebruiken ze nu dan?", zo besluiten de onderzoekers hun analyse.

Reacties (19)
25-07-2022, 15:53 door Hoofd Redactie
AMD stukken beter. Ben blij dat ik al sinds de FX serie loyaal blijf.
25-07-2022, 16:03 door Anoniem
Door De gouden eeuw: AMD stukken beter. Ben blij dat ik al sinds de FX serie loyaal blijf.
Dit heeft niets met Intel vs AMD te maken. Jouw AMD boot ook UEFI. Dat toevallig een intel chip is gekozen om aan te vallen (volgens de onderzoekers). Wil niet zeggen dat AMD veiliger is. Alleen dat deze NOG niet gevonden is.
25-07-2022, 16:25 door Anoniem
Door De gouden eeuw: AMD stukken beter. Ben blij dat ik al sinds de FX serie loyaal blijf.

En AMD CPU's hebben geen lekken?
https://www.amd.com/en/corporate/product-security/bulletin/amd-sb-1027
25-07-2022, 16:45 door Anoniem
Door De gouden eeuw: AMD stukken beter. Ben blij dat ik al sinds de FX serie loyaal blijf.
Ik ben blij dat jij blij bent maar het is *echt* niet zeker of de AMD mobo's wel of niet besmet zijn!

"De vraag blijft hoe de aanvallers erin zijn geslaagd om de firmware van malware te voorzien."
Misschien is deze firmware aanpassing ook ergens in de AMD fabriek toegepast. Je weet het niet hé.
25-07-2022, 20:12 door Anoniem
En weer via het windows ecosysteem.
26-07-2022, 01:27 door Anoniem
Door Anoniem: En weer via het windows ecosysteem.
Heeft niks met Windows te maken. UEFI Unified Extensible Firmware Interface. UEFI is een soort mini-besturingssysteem dat opstart voor je echte besturingssysteem. En dat kan elke zijn.
26-07-2022, 01:43 door Anoniem
Meltdown en Spectre (BUG) jaar 2018

Genoeg systemen die nu nog gebruikt worden waar geen micro-code-updates
voor beschikbaar waren voor velen intel/amd cpu's.

Niets is 100% veilig.

its hard be aware,dont be scared
26-07-2022, 02:07 door Planeten Paultje - Bijgewerkt: 26-07-2022, 02:12
Nu maar hopen dat er op mijn M1 Macje niet iets vergelijkbaars ontdekt wordt.

Update: En dan bedoel ik dat ik hoop dat het er daadwerkelijk niet is, niet dat als het er is dat het niet ontdekt wordt ;-)
26-07-2022, 08:26 door Anoniem
Door Anoniem: En weer via het windows ecosysteem.
... alsjeblieft, wat kennis: https://nl.wikipedia.org/wiki/Extensible_Firmware_Interface
26-07-2022, 11:31 door Anoniem
Door Planeten Paultje: Nu maar hopen dat er op mijn M1 Macje niet iets vergelijkbaars ontdekt wordt.

Update: En dan bedoel ik dat ik hoop dat het er daadwerkelijk niet is, niet dat als het er is dat het niet ontdekt wordt ;-)
Vergelijkbaar en al wel ontdekt https://www.techradar.com/news/apple-m1-chip-has-an-unpatchable-security-flaw-but-dont-panic-just-yet
26-07-2022, 11:55 door Anoniem
Door Anoniem:
Door Anoniem: En weer via het windows ecosysteem.
... alsjeblieft, wat kennis: https://nl.wikipedia.org/wiki/Extensible_Firmware_Interface
Door Anoniem:
Door Anoniem: En weer via het windows ecosysteem.
Heeft niks met Windows te maken. UEFI Unified Extensible Firmware Interface. UEFI is een soort mini-besturingssysteem dat opstart voor je echte besturingssysteem. En dat kan elke zijn.
UEFI is diep problematisch ingebed in het windowsecosysteem. Hier is een alternatief: https://itsfoss.com/linuxboot-uefi/
26-07-2022, 12:00 door Shadowlight - Bijgewerkt: 26-07-2022, 12:02
Door Anoniem:
Door Anoniem: En weer via het windows ecosysteem.
Heeft niks met Windows te maken. UEFI Unified Extensible Firmware Interface. UEFI is een soort mini-besturingssysteem dat opstart voor je echte besturingssysteem. En dat kan elke zijn.

Hoezo niet...
De malware in de besmette firmware wijzigt de werking van de Windows kernel loader...

edit: quote en /quote toegevoegd.
26-07-2022, 14:36 door Anoniem
Door Anoniem: En weer via het windows ecosysteem.

Yup, echte bende. Kansloos dat ze hiermee blijven wegkomen.
26-07-2022, 18:26 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: En weer via het windows ecosysteem.
... alsjeblieft, wat kennis: https://nl.wikipedia.org/wiki/Extensible_Firmware_Interface
Door Anoniem:
Door Anoniem: En weer via het windows ecosysteem.
Heeft niks met Windows te maken. UEFI Unified Extensible Firmware Interface. UEFI is een soort mini-besturingssysteem dat opstart voor je echte besturingssysteem. En dat kan elke zijn.
UEFI is diep problematisch ingebed in het windowsecosysteem. Hier is een alternatief: https://itsfoss.com/linuxboot-uefi/
Nope, UEFI heeft niks met Windows te maken het is een mini-besturingssysteem dat niets met Microsoft te maken heeft.
26-07-2022, 22:40 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: En weer via het windows ecosysteem.
... alsjeblieft, wat kennis: https://nl.wikipedia.org/wiki/Extensible_Firmware_Interface
Door Anoniem:
Door Anoniem: En weer via het windows ecosysteem.
Heeft niks met Windows te maken. UEFI Unified Extensible Firmware Interface. UEFI is een soort mini-besturingssysteem dat opstart voor je echte besturingssysteem. En dat kan elke zijn.
UEFI is diep problematisch ingebed in het windowsecosysteem. Hier is een alternatief: https://itsfoss.com/linuxboot-uefi/
Nope, UEFI heeft niks met Windows te maken het is een mini-besturingssysteem dat niets met Microsoft te maken heeft.
Je hebt Microsoft nodig om met UEFI/|Secureboot te kunnen werken, anders krijg je je Linux systeem niet geladen.
27-07-2022, 14:22 door Anoniem
Je hebt Microsoft nodig om met UEFI/|Secureboot te kunnen werken, anders krijg je je Linux systeem niet geladen.

Of heeft windows "secure boot: enabled" nodig om te kunnen draaien?
UEFI is de vervanger van het verouderde BIOS. Dit staat op een chip in de computer en word gebruikt om instructies te geven wanneer de computer aangezet word zodat je besturingssysteem geladen kan worden. Heeft dus niks met windows temaken. Elk besturingssysteem dat ondersteund word op jou pc kan gebruikt worden.
28-07-2022, 04:34 door Anoniem
Wat doen alle mensen toch zonder computerkennis op deze security site ? Ben echt benieuwd.

Windows is de boosdoener als er probleem met een de firmware van je moederbord?

Fijne site dit maar de comments, post dan niks als je niks zinnigs te melden hebt.

Ben benieuwd wanneer asus of gigabyte melding maken van een hack dan. Lijkt me niet dat je zonder de firmware kan aanpassen op het mobo. Wat is trouwens de oplossing is er al update voor de mobos bekend ?
28-07-2022, 13:58 door walmare - Bijgewerkt: 28-07-2022, 13:59
Windows is de boosdoener als er probleem met een de firmware van je moederbord?
Windows maakt inderdaad deel uit van een failliet ecosysteem. Vergeet EUFI met dat klote vfat . Gebruik Linuxboot https://laptrinhx.com/foss-linuxboot-replaces-uefi-on-servers-1515043410/
31-07-2022, 22:33 door Anoniem
Het zijn voorlopig maar Intel moederborden met een bepaalde chipset - maar wat niet is, kan altijd komen voor andere platformen/chipsets... Het besef dat zoiets erg moeilijk te detecteren valt is denk ik waardevol.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.