Názory k článku
Základní desky Gigabyte obsahují ve firmwaru zadní vrátka (aktualizováno)
-
Z toho popisu se zdá celkem zřejmé, že pokud mi systém bootuje postaru a ne přes UEFI, tak se mne problém netýká. Co mi ale není úplně jasné, je to, jestli to teoreticky ohrožuje i systémy, které sice bootují přes UEFI, ale není na nich žádná instalace Windows. Spíš bych řekl že ne, ale detaily toho, co ještě patří do UEFI a co už do bootu Windows, moc dobře neznám.
-
Firmware injektuje do ACPI spustitelný Windows program, a teprve až běžící Windows proces smss.exe ho z ní vytáhne a spustí. Takže je to Windows-only zranitelnost.
Naopak z toho není úplně jisté, jestli se totéž může stát i s legacy boot systémem, protože ty EFI komponenty jsou v činnosti úplně stejně, jen se OS zavádí pomocí jiného API. Spustitelný kód se předává přes ACPI a ne efivars, takže tomu technicky nic nebrání.
-
k zašifrovaní parcely to zabrání jak?
Pointa je, že zranitelnost není o samotném uložení škodlivého kódu, ale o moc jednoduchém spuštění třeba z USB
Podle někoho naopak stačí ochrana admin přístupu do setupu s adm heslem. Protože aktualizace uefi neproběhne pak bez autorizace bez ohledu na to kde ten baliček je.... protože ta původně recovery procedura je moc oteřená. Teoreticky to není backdoor , ale obyčejná zranitelnost by design.
-
Zatím jsem nenarazil na desku (nebo laptop), kde by nešlo heslo do setupu triviálně snadno obejít (např. https://bios-pw.org/). Smazat heslo, nahrát vlastní EFI klíče, nahrát vlastní EFI executable je otázka 10 minut když to někdo dělá poprvé. Já tam takhle dávám GRUB, ale stejně tak bych mohl tam podstrčit něco zákeřnějšího.
-
Jan HrachStříbrný podporovatelZprávička je extrémně matoucí. Z ní, zejména z „aktualizační program je navíc spouštěn už z firmwaru počítače, mimo hlavní operační systém“, jsem si odnesl, že to funguje tak, že to při inicializaci počítače požádá o adresu např. z DHCP a následně něco stahuje, nebo že to za běhu nějak samo zneužívá nakonfigurovanou síťovku.
Ve skutečnosti to využívá funkci Windows, že v ACPI může být .exe, který se automaticky spouští po startu. To ovšem není nic nového, například Lenovo to dělalo, a dokonce mám pocit, že jsem kdysi někde četl, že „BIOS“ dělal, že pokud najde NTFS oddíl s něčím co vypadá jako instalace Windows, tak nahradí nějaké chdsk.exe svým malwarem.
-
Smazaný profil
Me nejak nesedi nadpis s obsahem zpravicky, backdoor si predstavuju jako umyslne vytvorene zadni vratka, na ktere si vzdalene muze utocnik zavolat (nebo opacne) a vlamat se do masiny a ne chybu v komponente, ktera je teoreticky zneuzitelna (pouze kdyz bude mit utocnik pristup k HW). Neco mi unika? :)
-
k3dARStříbrný podporovatelkdyz se dokliknes na zdroj tak nevypada ze by utocnik mel mit pristup k HW, ale:
- dle nastaveni (v biosu desky?) UEFI taha LiveUpdate4 z gigabite url pres http nebo https a i v pripade https ze je tam spatne osetrena validace certifikatu takze i tak lze podstrcit neco skodliveho
- LiveUpdate4 to zkousi tahat i v lokalni siti z https://software-nas/Swhttp/LiveUpdate4- pokud to stahne, tak to ceka v UEFI nez nastartujou Windows ktere si to vytahnou a aktivujou jako sluzbu
-
Smazaný profil
Dobra tak ne primo k HW ale k siti nebo sitove komunikaci. Ja to pochopil presne jak pises, ale to je presne podle me softvarova chyba, ktera se da zneuzit jako backdoor ne gigabytem naverzeny a provozovany backdoor, ne? Nebo na ty gigabyte URL neni LiveUpdate ale nejaky malware a tedy gigabyte verejne provozuje backdoor? Tomu se mi nejak nechce verit..
-
Ano, přesně jak je psáno... Asus je jistě firmou, kde je všechno dokonale bezpečné a v pohodě... Pak můžeme klidně spát... Teď jsem řešil úžasnou věc se zranitelností ve strojích Dellu - většina BIOSů tam má implementován malinký software, sloužící na případnou lokalizaci počítače (třeba když jej někdo ukořistí). A ejhle, tyto skvělé prográmky mohou být napadnuty a zneužity... Jdou sice navždy deaktivovat (a standardně jsou "vypnuty"), ale už vědomí, že přímo v biosu je něco tak úžasného je jistě uspokojivé a uklidňující :-)
-
Aha, tedy neni chyba v gigabajtu, ale ve Windows. Gigabajt jen zneuziva diru ve Win, kdyz ji podstrci exe s aktualizaci (nebo sw ktery ji nasledne umí provést) a Win ji z ACPI bez jakehokoliv overeni vytahnou a spusti admin uctem, :D jako k cemu ze byl secure boot? Mel právě zabranit spousteni nechtenych veci pred zavedenim Win a ony si to Win nakonec zavadej samy.
2. 6. 2023, 07:09 editováno autorem komentáře
-
Jan HrachStříbrný podporovatel
To neznamená, že případný stažený soubor nezkontroluje nějak jinak. Repozitáře linuxových distribucí jsou taky běžně na nedůvěryhodných (provozuje to kdejaký ISP, univerzita…) mirrorech dostupných přes HTTP a přitom se stažené balíčky ověřují podpisem distribuce. Naopak je takové ověřování lepší, protože jakmile máte víc než jeden server, tak v podstatě potřebujete nějakou CDN, a té nechcete věřit, že nebude obsah podvrhovat.
(pozn. nezkoumal jsem jestli to opravdu (ne)kontroluje, jen píšu, že stahování aktualizací přes HTTP neznamená automaticky problém)
2. 6. 2023, 14:02 editováno autorem komentáře
-
Jan HrachStříbrný podporovatel
V tom originálním článku píšou hned po sobě že to není podepsané, ale vlastně je podepsané, ale že přece i s tím hrozí útoky že výrobce někomu podepíše malware.
The firmware does not implement any cryptographic digital signature verification or any other validation over the executables. The dropped executable and the normally-downloaded Gigabyte tools do have a Gigabyte cryptographic signature that satisfies the code signing requirements of Microsoft Windows, but this does little to offset malicious use, especially if exploited using Living-off-the-Land techniques (like in the recent alert regarding Volt Typhoon attackers).
