Backdoor-Firmware auf Millionen von PC-Motherboards gefunden
Cyberkriminelle wenden zunehmend eine hinterhältige Taktik an, indem sie Schadprogramme in der UEFI-Firmware eines Computers verstecken – dem grundlegenden Code, der für das Booten des Betriebssystems verantwortlich ist. Die Situation wird jedoch noch alarmierender, wenn ein Motherboard-Hersteller nicht nur seine versteckte Hintertür in die Firmware von Millionen von Computern einbaut, sondern diesen Zugang auch nicht ordnungsgemäß absichert.
Kürzlich hat ein auf Firmware spezialisiertes Team von Cybersicherheitsforschern einen verborgenen Mechanismus entdeckt, der in der Firmware von Motherboards von Gigabyte, einem renommierten taiwanesischen Unternehmen, das häufig in Gaming-PCs und Hochleistungscomputern eingesetzt wird, eingebettet ist. Beim Neustart eines Computers mit dem betroffenen Gigabyte-Motherboard löst der versteckte Code in der Firmware diskret ein Update-Programm auf dem Computer aus. Anschließend lädt dieses Programm ohne Wissen oder Zustimmung des Benutzers eine andere Software herunter und führt sie aus.
Inhaltsverzeichnis
Absichten gut, Umsetzung nicht so sehr
Während der in der Gigabyte-Motherboard-Firmware entdeckte versteckte Code vermutlich als harmloses Tool für Firmware-Updates gedacht war, haben Forscher bei seiner Implementierung erhebliche Sicherheitslücken festgestellt. Diese Schwachstellen stellen ein potenzielles Risiko dar, dass böswillige Akteure den Mechanismus ausnutzen und ihn nutzen könnten, um Malware anstelle des vorgesehenen Gigabyte-Programms zu installieren.
Erschwerend kommt hinzu, dass das Aktualisierungsprogramm von der Firmware des Computers aus initiiert wird und außerhalb des Betriebssystems des Benutzers läuft. Dies macht es für Benutzer äußerst schwierig, den problematischen Code zu erkennen oder zu entfernen, was die potenziellen Auswirkungen der Sicherheitslücke noch weiter verschärft.
Mehr als 270 Modelle beteiligt
Um zu sehen, ob das Motherboard Ihres Computers die betreffende Hintertür enthält, navigieren Sie in Windows zu „Start“ und greifen Sie auf „Systeminformationen“ zu.
Bei der Untersuchung von Firmware-basiertem Schadcode machten Forscher eine wichtige Entdeckung bezüglich des verborgenen Firmware-Mechanismus von Gigabyte. Dieses Ergebnis ist besonders bemerkenswert, da raffinierte Hacker häufig ähnliche Taktiken anwenden. Überraschenderweise haben die automatisierten Erkennungsscans der Forscher den Updater-Mechanismus von Gigabyte auf verdächtige Aktivitäten aufmerksam gemacht, die an staatlich geförderte Hacking-Tools erinnern. Konkret ging es darum, sich in der Firmware zu verstecken und stillschweigend ein Programm auszuführen, das Code aus dem Internet herunterlädt.
Allein der Updater-Mechanismus von Gigabyte hat bei Benutzern Bedenken geweckt, die sich vor der Aussicht auf stille Codeinstallationen durch ein kaum wahrnehmbares Tool fürchten. Darüber hinaus besteht die ernsthafte Befürchtung, dass der Mechanismus von Gigabyte der Ausnutzung durch Hacker zum Opfer fallen könnte, die den Motherboard-Hersteller infiltrieren und seinen verborgenen Zugang für einen schändlichen Angriff auf die Software-Lieferkette ausnutzen. Die Untersuchung von Eclypsium brachte jedoch eine noch alarmierendere Entdeckung zutage. Der Update-Mechanismus, der das Benutzererlebnis verbessern soll, enthält eklatante Schwachstellen, die potenziell böswillig ausgenutzt werden können. Erstaunlicherweise lädt es Code auf den Computer des Benutzers herunter, ohne dass eine ordnungsgemäße Authentifizierung durchgeführt wird, und in einigen Fällen wird sogar eine unsichere HTTP-Verbindung anstelle des sichereren HTTPS verwendet.
Diese klaffende Sicherheitslücke ermöglicht es böswilligen Akteuren, Man-in-the-Middle-Angriffe zu orchestrieren und so ahnungslose Benutzer zu täuschen, indem sie die Installationsquelle fälschen. Im Wesentlichen könnte sogar ein betrügerisches Wi-Fi-Netzwerk zu einem Gefahreninstrument werden, das die Internetverbindung des Benutzers abfängt und seine Systemintegrität gefährdet.
In anderen Fällen ermöglicht der Firmware-Mechanismus von Gigabyte dem Updater, Downloads von einem lokalen Netzwerkspeichergerät (NAS) abzurufen. Diese Funktion, die offenbar darauf abzielt, Aktualisierungen innerhalb von Unternehmensnetzwerken zu erleichtern, vermeidet einen umfassenden Internetzugriff aller Computer. Wenn dies jedoch geschieht, kann ein böswilliger Akteur im selben Netzwerk den NAS-Standort betrügerisch manipulieren und autorisierte Updates heimlich durch seine eigene Malware ersetzen.
Eine Lösung könnte funktionieren ... oder nicht?
Trotz der potenziellen Bemühungen von Gigabyte, das Firmware-Problem zu beheben, werden Firmware-Updates häufig stillschweigend auf den Computern der Benutzer beendet, da der Prozess kompliziert ist und es schwierig ist, die Firmware an die Hardware anzupassen. Diese Enthüllung ist zutiefst besorgniserregend, wenn man die große Anzahl der Geräte bedenkt, die betroffen sein könnten. Während Gigabyte mit seinem verborgenen Firmware-Tool wahrscheinlich keine böswilligen oder betrügerischen Absichten verfolgte, untergraben Sicherheitslücken im verborgenen Code unter dem Betriebssystem das grundlegende Vertrauen der Benutzer in ihre Maschinen.