English
Français
Deutsch
Español
Português
日本語
한국어
Русский
10 fantastiche varianti della Porsche 911: dai capolavori classici a quelli moderni
Aug 09, 202310 migliori bici sportive degli anni 2000
Aug 11, 202310 fatti sulla versione americana dell'ID.Buzz, la retro elettrica della VW
May 02, 202310 errori commessi dai nuovi utenti Android
May 12, 202310 motivi per cui la Honda S2000 è una leggenda del roadster
Aug 06, 2023Milioni di schede madri Gigabyte sono state vendute con una backdoor firmware
Dec 14, 2023Andy Greenberg
Nascondere programmi dannosi nel firmware UEFI di un computer, il codice radicato che dice a un PC come caricare il suo sistema operativo, è diventato un trucco insidioso nella cassetta degli attrezzi degli hacker furtivi. Ma quando un produttore di schede madri installa la propria backdoor nascosta nel firmware di milioni di computer, e non mette nemmeno un lucchetto adeguato a quell'entrata nascosta, sta praticamente facendo il lavoro degli hacker per suo conto.
I ricercatori della società di sicurezza informatica Eclypsium focalizzata sul firmware hanno rivelato oggi di aver scoperto un meccanismo nascosto nel firmware delle schede madri vendute dal produttore taiwanese Gigabyte, i cui componenti sono comunemente utilizzati nei PC da gioco e altri computer ad alte prestazioni. Ogni volta che un computer con la scheda madre Gigabyte interessata si riavvia, ha scoperto Eclypsium, il codice all'interno del firmware della scheda madre avvia in modo invisibile un programma di aggiornamento che viene eseguito sul computer e, a sua volta, scarica ed esegue un altro software.
Sebbene Eclypsium affermi che il codice nascosto è pensato per essere uno strumento innocuo per mantenere aggiornato il firmware della scheda madre, i ricercatori hanno scoperto che è implementato in modo non sicuro, consentendo potenzialmente il dirottamento del meccanismo e l'utilizzo per installare malware al posto del programma previsto da Gigabyte. E poiché il programma di aggiornamento viene attivato dal firmware del computer, al di fuori del suo sistema operativo, è difficile per gli utenti rimuoverlo o addirittura scoprirlo.
"Se possiedi una di queste macchine, devi preoccuparti del fatto che fondamentalmente sta prelevando qualcosa da Internet e lo esegue senza che tu sia coinvolto, e non ha fatto nulla di tutto ciò in modo sicuro", afferma John Loucaides, responsabile della strategia e ricerca presso Eclypsium. "Il concetto di andare sotto l'utente finale e prendere il controllo della sua macchina non piace alla maggior parte delle persone."
Nel suo post sul blog sulla ricerca, Eclypsium elenca 271 modelli di schede madri Gigabyte che secondo i ricercatori sono interessati. Loucaides aggiunge che gli utenti che desiderano vedere quale scheda madre utilizza il loro computer possono verificare andando su "Start" in Windows e quindi su "Informazioni di sistema".
Eclypsium afferma di aver trovato il meccanismo nascosto del firmware di Gigabyte mentre scandagliava i computer dei clienti alla ricerca di codice dannoso basato sul firmware, uno strumento sempre più comune utilizzato da hacker sofisticati. Nel 2018, ad esempio, gli hacker che lavoravano per conto dell'agenzia di intelligence militare russa GRU sono stati scoperti mentre installavano silenziosamente il software antifurto LoJack basato su firmware sui computer delle vittime come tattica di spionaggio. Gli hacker cinesi sponsorizzati dallo stato sono stati avvistati due anni dopo mentre riproponevano uno strumento spyware basato su firmware creato dalla società di hacker Hacking Team per prendere di mira i computer dei diplomatici e del personale delle ONG in Africa, Asia ed Europa. I ricercatori di Eclypsium sono rimasti sorpresi nel vedere le loro scansioni di rilevamento automatizzato contrassegnare il meccanismo di aggiornamento di Gigabyte per aver eseguito alcuni degli stessi comportamenti loschi di quegli strumenti di hacking sponsorizzati dallo stato: nascondersi nel firmware e installare silenziosamente un programma che scarica codice da Internet.
Lauren Goode
Personale CABLATO
Brenda Stolyar
Will Cavaliere
Il solo programma di aggiornamento di Gigabyte potrebbe aver sollevato preoccupazioni tra gli utenti che non si fidano di Gigabyte per installare silenziosamente il codice sul proprio computer con uno strumento quasi invisibile, o che temono che il meccanismo di Gigabyte possa essere sfruttato da hacker che compromettono il produttore della scheda madre per sfruttare il suo accesso nascosto in un attacco alla catena di fornitura del software. Ma Eclypsium ha anche scoperto che il meccanismo di aggiornamento era implementato con evidenti vulnerabilità che potevano consentirne il dirottamento: scarica il codice sul computer dell'utente senza autenticarlo correttamente, a volte anche tramite una connessione HTTP non protetta, anziché HTTPS. Ciò consentirebbe di falsificare la fonte di installazione da parte di un attacco man-in-the-middle effettuato da chiunque possa intercettare la connessione Internet dell'utente, come una rete Wi-Fi non autorizzata.
In altri casi, l'aggiornamento installato dal meccanismo nel firmware di Gigabyte è configurato per essere scaricato da un dispositivo di archiviazione collegato alla rete locale (NAS), una funzionalità che sembra essere progettata per consentire alle reti aziendali di amministrare gli aggiornamenti senza che tutte le loro macchine raggiungano la rete. a Internet. Ma Eclypsium avverte che in questi casi, un attore malintenzionato sulla stessa rete potrebbe falsificare la posizione del NAS per installare invece in modo invisibile il proprio malware.