Mainboard ของ Gigabyte มากกว่าร้อยรุ่นที่ใช้ UEFI firmware มีช่องโหว่ด้านความปลอดภัย ที่อาจทำให้ผู้โจมตีสามารถฝังมัลแวร์ประเภท bootkit ซึ่งเป็นมัลแวร์ที่ระบบปฏิบัติการไม่สามารถตรวจจับได้ และยังคงแฝงตัวอยู่ได้แม้ผู้ใช้จะทำการติดตั้งระบบปฏิบัติการใหม่แล้วก็ตาม

ช่องโหว่เหล่านี้อาจทำให้ผู้โจมตีที่มีสิทธิ์ในระดับผู้ดูแลระบบ (ทั้งแบบเข้าถึงจากเครื่องโดยตรง หรือจากระยะไกล) สามารถเรียกใช้โค้ดใด ๆ ก็ได้ตามต้องการใน System Management Mode (SMM) ซึ่งเป็นสภาพแวดล้อมที่แยกออกจากระบบปฏิบัติการ (OS) และมีสิทธิ์ในการเข้าถึงเครื่องที่มากกว่า

กลไกที่ทำงานในระดับที่ต่ำกว่าระบบปฏิบัติการ (OS) จะสามารถเข้าถึงฮาร์ดแวร์ได้โดยตรง และเริ่มทำงานตั้งแต่ตอนบูตเครื่อง ด้วยเหตุนี้ มัลแวร์ที่แฝงตัวอยู่ในสภาพแวดล้อมดังกล่าวจึงสามารถ bypass การป้องกันความปลอดภัยแบบมาตรฐานที่มีอยู่ในระบบได้

UEFI หรือ Unified Extensible Firmware Interface เป็น firmware ที่มีความปลอดภัยมาก เนื่องจากมีฟีเจอร์ Secure Boot ที่ใช้ในการตรวจสอบด้วยวิธีการเข้ารหัส เพื่อให้แน่ใจว่าโค้ดที่อุปกรณ์ใช้ในการบูตเครื่องนั้นปลอดภัย และเชื่อถือได้

ด้วยเหตุนี้ มัลแวร์ระดับ UEFI อย่าง bootkit ที่มีชื่อเสียง เช่น เช่น BlackLotus, CosmicStrand, MosaicAggressor, MoonBounce และ LoJax จึงสามารถฝังโค้ดที่เป็นอันตรายให้ทำงานได้ทุกครั้งที่มีการเปิดเครื่อง

Mainboards จำนวนมากที่ได้รับผลกระทบ

ช่องโหว่ทั้ง 4 รายการนี้ ถูกพบใน firmware ที่ Gigabyte นำมาใช้งาน โดยถูกค้นพบโดยนักวิจัยจากบริษัทด้านความปลอดภัย firmware ที่ชื่อ Binarly ซึ่งได้แบ่งปันข้อมูลการค้นพบนี้กับศูนย์ประสานงาน CERT (CERT/CC) ของมหาวิทยาลัย Carnegie Mellon

Supplier ของ firmware รายหลักคือบริษัท American Megatrends Inc.

GIGABYTE ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ใน firmware ที่เพิ่งค้นพบของเมนบอร์ดกว่า 270 รุ่น ที่อาจทำให้ถูกโจมตีเพื่อติดตั้งมัลแวร์ได้

โดย GIGABYTE ได้เผยแพร่การอัปเดตแพตซ์ firmware เพื่อแก้ไขช่องโหว่สำหรับเมนบอร์ด Intel 400/500/600/700 และ AMD 400/500/600 ในวันที่ 1 มิถุนายน 2023 ที่ผ่านมา (more…)

นักวิจัยด้านความปลอดภัยทางไซเบอร์พบพฤติกรรมคล้ายแบ็คดอร์ในระบบของ Gigabyte ซึ่งทำให้เฟิร์มแวร์ UEFI ของอุปกรณ์สามารถส่งไฟล์ปฏิบัติการ (executable file) ของ Windows และเรียกข้อมูลอัปเดตในรูปแบบที่ไม่ปลอดภัยได้

บริษัทความปลอดภัยด้านเฟิร์มแวร์ 'Eclypsium' ระบุว่า พวกเขาตรวจพบความผิดปกติครั้งแรกในเดือนเมษายน 2023 ซึ่งต่อมา Gigabyte ได้ทราบปัญหา และดำเนินการแก้ไขปัญหาดังกล่าวเรียบร้อยแล้ว

John Loucaides รองประธานบริหารฝ่ายกลยุทธ์ของ Eclypsium ให้ข้อมูลกับ The Hacker News ว่า "พวกเขาพบว่าเฟิร์มแวร์ Gigabyte ส่วนใหญ่มีไฟล์ปฏิบัติการแบบ Windows Native Binary ถูกฝังอยู่ภายในเฟิร์มแวร์ UEFI"

ไฟล์ปฏิบัติการของ Windows ที่ตรวจพบ จะถูกเก็บลงดิสก์ และทำงานเป็นส่วนหนึ่งของ process เริ่มต้น Windows คล้ายการโจมตีแบบ double agent ของ LoJack ซึ่งไฟล์ปฏิบัติการนี้จะดาวน์โหลด และเรียกใช้ไบนารีเพิ่มเติมด้วยวิธีการที่ไม่ปลอดภัย

จากรายงานของ Eclypsium ไฟล์ปฏิบัติการนี้จะถูกฝังอยู่ในเฟิร์มแวร์ UEFI และจะถูกเขียนลงดิสก์โดยเฟิร์มแวร์ ซึ่งเป็นส่วนหนึ่งของกระบวนการบูตระบบ และจากนั้นจะถูกเรียกใช้ในลักษณะ update service

แอปพลิเคชันถูกพัฒนาด้วย .NET โดยทำการตั้งค่าให้ดาวน์โหลด และเรียกใช้เพย์โหลดจากเซิร์ฟเวอร์อัปเดตของ Gigabyte ผ่าน HTTP ธรรมดา ซึ่งทำให้กระบวนการดังกล่าวอาจตกเป็นเป้าหมายของการโจมตีแบบ adversary-in-the-middle (AitM) ผ่านเราท์เตอร์ที่ถูกโจมตี

Loucaides ระบุว่า "ซอฟต์แวร์มีจุดประสงค์ให้ดูเหมือนเป็นแอปพลิเคชันสำหรับการอัปเดตที่ดูถูกต้องตามปกติ และอาจส่งผลกระทบต่อ Gigabyte systems ประมาณ 364 ระบบ โดยมีอุปกรณ์ประมาณ 7 ล้านเครื่อง"

เนื่องจากผู้ไม่หวังดีพยายามมองหาวิธีที่จะไม่ถูกตรวจจับอยู่เสมอ และทิ้งร่องรอยการโจมตีให้น้อยที่สุด ช่องโหว่ในการอัปเดตเฟิร์มแวร์ที่มีสิทธิ์พิเศษอาจเป็นการเปิดทางให้เกิดการโจมตีบน UEFI bootkits ซึ่งจะหลบเลี่ยงอุปกรณ์ด้านความปลอดภัยได้ทั้งหมด

สิ่งที่แย่ไปกว่านั้นคือ UEFI code อยู่บนเมนบอร์ด มัลแวร์ที่ถูกฝังในเฟิร์มแวร์สามารถคงอยู่ถาวรแม้ว่าไดรฟ์จะถูกฟอร์แมต และติดตั้งระบบปฏิบัติการใหม่ก็ตาม

แนะนำให้องค์กรต่าง ๆ ควรอัปเดตเฟิร์มแวร์เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยงที่อาจเกิดขึ้น นอกจากนี้ยังแนะนำให้ตรวจสอบ และปิดการใช้งานคุณสมบัติ "APP Center Download & Install" ในการตั้งค่า UEFI/BIOS และตั้งรหัสผ่าน BIOS เพื่อป้องกันการเปลี่ยนแปลงที่อาจเป็นอันตราย

อ้างอิง : https://thehackernews.