固件和硬件安全公司Eclypsium的研究人員近日發現計算機硬件巨頭技嘉(Gigabyte)生產的數百種主板型號包含后門功能,影響數百萬計算機設備,可能對企業構成重大安全風險。

Eclypsium透露,該后門的發現與技嘉主板功能的異常行為有關,這些異常行為在Eclypsium的平臺中觸發了警報。

研究人員發現許多技嘉主板系統上的固件會丟棄操作系統啟動時執行的Windows二進制文件。被丟棄的文件會下載并運行從技嘉服務器獲取的另一個有效載荷。

該有效載荷通過不安全的連接(HTTP或配置不正確的HTTPS)下載,并且文件的合法性未經驗證。

沒有證據表明后門已被用于惡意目的,并且該功能似乎與技嘉應用程序中心有關,該中心在技嘉官網上有正式記錄。

然而,Eclypsium表示,目前很難確定該后門是否從技嘉內部植入(無論是惡意內部人員還是由于公司的系統遭到入侵)。也很難排除后門沒有被植入供應鏈的其他地方。

Eclypsium警告說,即使該功能是合法的,最終也可能會被黑客濫用。熟練的黑客在攻擊中利用此類工具的情況并不少見。

在很多案例中,UEFI rootkit被用來幫助Windows惡意軟件在受感染的系統中長期駐留,而且此類固件后門很難刪除。

Eclypsium還警告說,黑客可以利用系統和技嘉服務器之間的不安全連接,通過中間人(MitM)攻擊來替換有效載荷。

Eclypsium已經公布了270多個受影響的技嘉主板型號的列表(鏈接在文末),這意味著數百萬臺設備可能存在后門。Eclypsium表示,它一直在與技嘉合作解決這個問題,可能需要固件更新。

網絡安全 后門
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接