Công ty an ninh mạng Eclypsium đã phát hiện ra một cửa hậu trong chương trình cơ sở của Gigabyte khiến 271 bo mạch chủ khác nhau gặp rủi ro. Lỗ hổng nằm trong một chương trình cập nhật nhỏ mà Gigabyte sử dụng để đảm bảo rằng phần sụn của bo mạch chủ luôn cập nhật. Rõ ràng, nó đang làm như vậy thông qua việc triển khai không an toàn.
Bạn đã bao giờ nhận thấy rằng sau khi cài đặt Windows sạch sẽ, một chương trình bật lên đề nghị tải xuống trình điều khiển hoặc chương trình cơ sở mới nhất cho bạn chưa? Thật không may, đoạn mã nhỏ đó có thể cung cấp một cửa hậu cho bọn tội phạm.
Sau mỗi lần khởi động lại hệ thống, một đoạn mã bên trong phần sụn sẽ khởi chạy chương trình cập nhật kết nối với Internet để kiểm tra và tải xuống phần sụn mới nhất cho bo mạch chủ. Eclypsium đánh giá rằng việc triển khai của Gigabyte là không an toàn và tội phạm mạng có thể sử dụng lỗ hổng để cài đặt phần mềm độc hại trên hệ thống của nạn nhân. Vấn đề lớn là chương trình cập nhật nằm bên trong phần sụn của bo mạch chủ, vì vậy người tiêu dùng không thể dễ dàng gỡ bỏ nó.
Gigabyte không phải là nhà cung cấp duy nhất sử dụng loại chương trình này để hỗ trợ cập nhật chương trình cơ sở. Các nhà sản xuất bo mạch chủ khác sử dụng một phương pháp tương tự, đặt ra câu hỏi liệu có phương pháp nào an toàn hay không. Ví dụ: phần mềm Armory Crate của Asus hoạt động tương tự như Trung tâm ứng dụng của Gigabyte. Theo phát hiện của Eclypsium, chương trình cập nhật của Gigabyte ping ba trang web khác nhau để cập nhật chương trình cơ sở:
- http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://software-nas/Swhttp/LiveUpdate4
Eclypsium đã đánh giá rằng trình cập nhật tải mã xuống hệ thống của người dùng mà không có xác thực phù hợp. Nó không sử dụng bất kỳ xác minh chữ ký số mật mã nào hoặc các phương thức xác thực khác. Kết quả là, các kết nối HTTP và HTTPS dễ bị tổn thương trước các cuộc tấn công Máy ở giữa (MITM), trong đó kết nối trước dễ bị tổn thương hơn so với kết nối sau. Bên cạnh việc kết nối với Internet, Eclypsium cũng phát hiện ra rằng trình cập nhật có thể tải xuống các bản cập nhật chương trình cơ sở từ thiết bị NAS trong mạng cục bộ. Một tác nhân độc hại có thể giả mạo NAS tương tự và lây nhiễm phần mềm gián điệp cho nạn nhân.
Trình cập nhật là một công cụ tiêu chuẩn trong số các bo mạch chủ Gigabyte. Eclypsium đã đưa ra một danh sách đầy đủ các mô hình bị ảnh hưởng. Có tới 271 bo mạch chủ trong danh sách, bao gồm cả bo mạch chủ của Intel và AMD. Một số kiểu máy có từ chipset AMD 400-series. Tuy nhiên, ngay cả bo mạch chủ Intel 700-series hoặc AMD 600-series mới nhất cũng không an toàn.
Eclypsium đã chia sẻ những khám phá của mình với Gigabyte và nhà cung cấp bo mạch chủ đang nghiên cứu giải pháp để giải quyết lỗ hổng. Trớ trêu thay, giải pháp có thể sẽ đến trong phần sụn được cập nhật. Trong khi đó, chủ sở hữu bo mạch chủ Gigabyte có thể thực hiện một số biện pháp để bảo vệ hệ thống của họ.
Eclypsium khuyến nghị người dùng tắt tính năng “Tải xuống và cài đặt trung tâm ứng dụng” bên trong chương trình cơ sở của bo mạch chủ. Tùy chọn này là thứ khởi tạo trình cập nhật. Để có biện pháp tốt, người dùng có thể triển khai mật khẩu cấp BIOS để ngăn hoạt động độc hại, không mong muốn. Cuối cùng nhưng không kém phần quan trọng, người dùng có thể chặn ba trang web mà trình cập nhật liên hệ.