Gigabyte heeft bios-updates uitgebracht om een 'backdoor' van allerlei moederborden te verwijderen. Eind mei stelde securitybedrijf Eclypsium dat er in een groot aantal modellen moederborden van Gigabyte een backdoor aanwezig is waardoor een aanvaller systemen met malware kan infecteren.
De UEFI-firmware die op de moederborden draait bevat een Windows executable die bij het opstarten van het systeem naar de schijf van de computer wordt geschreven. Een techniek die vaak door UEFI-malware en backdoors wordt toegepast, aldus Eclypsium. Het gaat om een .NET-applicatie die vervolgens aanvullende code downloadt. Het gaat om de update-service die onderdeel van het Gigabyte App Center is, een programma voor het updaten van apps, drivers en bios.
Afhankelijk van de configuratie gebeurt het downloaden van de code via het onversleutelde HTTP. Een aanvaller kan via een man-in-the-middle (MITM) aanval zo andere bestanden naar de gebruiker sturen. Een dergelijke aanval is ook bij HTTPS mogelijk, aangezien de controle van het servercertificaat niet goed is geïmplementeerd, waardoor ook hier een MITM-aanval mogelijk is. Verder blijkt de firmware de digitale handtekening van bestanden niet te controleren of andere validatie toe te passen.
Eclypsium spreekt in het eigen onderzoek van een backdoor, maar Gigabyte heeft het over kwetsbaarheden. De moederbordfabrikant heeft nu updates uitgebracht die de problemen moet verhelpen. Zo worden digitale handtekeningen en certificaten nu beter gecontroleerd. "Dit garandeert dat bestanden alleen van servers met geldige en vertrouwde certificaten worden gedownload", aldus Gigabyte. Zo'n 270 modellen moederborden hebben volgens Eclypsium met het probleem te maken. Voor moederborden met de Intel 700/600 en AMD 600/500/400 chipsets zijn er nu updates te vinden.
Deze posting is gelocked. Reageren is niet meer mogelijk.