Firmware Asus- en Gigabyte-moederborden besmet met UEFI-rootkit
Onderzoekers hebben in firmware-images van Asus- en Gigabyte-moederborden malware aangetroffen waarmee aanvallers vergaande controle over het besmette systeem krijgen. De UEFI-rootkit wordt al jaren gebruikt, maar wordt nu pas beschreven. Hoe de firmware-images besmet konden worden is onbekend. Alle geïnfecteerde firmware-images waren voor moederborden met Intels H81-chipset. Dit is een oudere moederbordchipset die eind 2013 werd gelanceerd.
De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben.
De malware in de besmette firmware wijzigt de werking van de Windows kernel loader en schakelt beveiligingsmaatregelen zoals Windows PatchGuard uit, dat juist aanpassingen aan de Windows-kernel moet voorkomen. Het uiteindelijke doel van de UEFI-malware is het laden van shellcode in het geheugen van de besmette computer. Deze shellcode maakt verbinding met de server van de aanvallers en laadt de uiteindelijke "payload" op het systeem.
De vraag blijft hoe de aanvallers erin zijn geslaagd om de firmware van malware te voorzien. Aangezien alle aangepaste firmware-images voor de H81-chipset waren vermoeden onderzoekers van antivirusbedrijf Kaspersky dat een kwetsbaarheid het injecteren van de rootkit mogelijk maakt. Het zou kunnen dat de aanvallers eerder toegang tot de aangevallen systemen hadden. Vervolgens hebben ze de moederbord-firmware gedownload, aangepast en weer geüpload.
De meeste infecties met de UEFI-rootkit zijn waargenomen in China, Vietnam, Iran en Rusland. Het is hierbij belangrijk om te vermelden dat het alleen gaat om Kaspersky-klanten die de gratis versie van de antivirussoftware gebruikten. Het werkelijke aantal infecties wereldwijd is dan ook onbekend, aangezien andere antivirusbedrijven nog geen melding van de malware hebben gemaakt.
Volgens de onderzoekers is de belangrijkste conclusie dat de UEFI-rootkit al sinds eind 2016 in gebruik lijkt te zijn, lang voordat er in het openbaar over UEFI-aanvallen werd geschreven. "Dit roept de vraag op: als de aanvallers destijds hier al gebruik van maakten, wat gebruiken ze nu dan?", zo besluiten de onderzoekers hun analyse.
En AMD CPU's hebben geen lekken?
https://www.amd.com/en/corporate/product-security/bulletin/amd-sb-1027
"De vraag blijft hoe de aanvallers erin zijn geslaagd om de firmware van malware te voorzien."
Misschien is deze firmware aanpassing ook ergens in de AMD fabriek toegepast. Je weet het niet hé.
Genoeg systemen die nu nog gebruikt worden waar geen micro-code-updates
voor beschikbaar waren voor velen intel/amd cpu's.
Niets is 100% veilig.
its hard be aware,dont be scared
Update: En dan bedoel ik dat ik hoop dat het er daadwerkelijk niet is, niet dat als het er is dat het niet ontdekt wordt ;-)
Update: En dan bedoel ik dat ik hoop dat het er daadwerkelijk niet is, niet dat als het er is dat het niet ontdekt wordt ;-)
Hoezo niet...
edit: quote en /quote toegevoegd.
Yup, echte bende. Kansloos dat ze hiermee blijven wegkomen.
Of heeft windows "secure boot: enabled" nodig om te kunnen draaien?
UEFI is de vervanger van het verouderde BIOS. Dit staat op een chip in de computer en word gebruikt om instructies te geven wanneer de computer aangezet word zodat je besturingssysteem geladen kan worden. Heeft dus niks met windows temaken. Elk besturingssysteem dat ondersteund word op jou pc kan gebruikt worden.
Windows is de boosdoener als er probleem met een de firmware van je moederbord?
Fijne site dit maar de comments, post dan niks als je niks zinnigs te melden hebt.
Ben benieuwd wanneer asus of gigabyte melding maken van een hack dan. Lijkt me niet dat je zonder de firmware kan aanpassen op het mobo. Wat is trouwens de oplossing is er al update voor de mobos bekend ?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
