Az Eclypsium névre keresztet vállalat, amelynek munkatársai kiberbiztonsággal kapcsolatos kutatásokat és vizsgálatokat folytatnak, egy meglehetősen érdekes hibára bukkantak az elmúlt időszakban, ami rengeteg Gigabyte alaplaptípust érint, beleértve a legmodernebb példányokat is. Az AMD és az Intel platformjain egyaránt jelen lévő sebezhetőség igazából azért veszélyes, mert egy firmware eredetű hátsó ajtóról van szó. A szoftver, amely a hátsó ajtóért felelős, lényegében a firmware frissítéséről, illetve a legfrissebb verzió beszerzéséről gondoskodik, ám az implementáció eléggé sok hibát tartalmaz, amiket a rosszindulatú kódok írói viszonylag könnyedén kihasználhatnak. A biztonságtechnikai kutatók természetesen már felhívták a Gigabyte szoftverfejlesztő csapatának figyelmét a hibára, ám a gyártó egyelőre nem adott ki hivatalos közleményt vele kapcsolatban.

Hogy konkrétan miről is van szó? A Gigabyte alaplapok esetében megfigyelhető, hogy egy friss Windows telepítést végeztével felugrik egy ablak, ami a friss firmware elérhetőségéről tájékoztat, már ha rendelkezésre áll frissebb verzió az alaplapon lévőnél. Ennek a szoftvernek az implementációjával van probléma, ugyanis a szoftverfejlesztők nem gondoskodtak a megfelelő biztonságról. Maga az alkalmazás a firmware-ből indul és egy frissítőprogramként működik, ami az Internethez kapcsolódva kéri le a firmware verziókat, és ha talál egy frissebbet, akkor le is tölti az alaplap számára. A probléma egyrészt az, hogy a szoftver mindenféle felhasználó-azonosítás, kriptografikus digitális aláírás-hitelesítés, vagy egyéb azonosító módszer nélkül dolgozik, ami óriási veszélyt jelent. A http és https protokollokon keresztül kommunikáló szoftver esetében előfordulhat közbeékelődéses támadás (MITM), ami miatt lehetőség nyílik kártékony kódok telepítésére is. A biztonságtechnikai kutatók tesztjei alapján a frissítő alkalmazás az alábbi oldalakat pingeli frissebb firmware reményében:

További probléma, hogy az alkalmazással akár a helyi hálózaton lévő NAS-ról is letölthet friss firmware-et az alkalmazás, ezt kihasználva a kártékony kódok íróinak újabb lehetőségük nyílhat kémprogram vagy egyéb kód telepítésére.

Hasonló frissítő alkalmazás nemcsak a Gigabyte-nál áll rendelkezésre, hanem egyé gyártóknál is, amelyek hasonlóképpen működnek, ezeket viszont még nem tesztelték a biztonságtechnikai kutatók, így egyelőre nem világos, hasonlóan veszélyesen működnek-e, mint a Gigabyte megoldása. Az biztos, hogy a Gigabyte termékpalettájának jelentős része érintett, ugyanis a biztonságtechnikai kutatók 271 olyan alaplapmodellt számoltak össze, amelyek tartalmazzák a hibát. Az érintettek között számos új és régi modell foglal helyet, még az Intel 700-as sorozatú és az AMD 600-as sorozatú termékeit is érinti a probléma.

Noha a Gigabyte fejlesztőcsapatát már értesítették a hibáról, hivatalos reakció még nem érkezett az ügyben, így nem tudni, mikor készül el a javítás a hibára. Persze addig is érdemes gondoskodni a rendszer biztonságáról, ami alapvetően nem egy egyszerű feladat, ha a firmware-en belül helyezkedik el a problémás kód. Szerencsére így is van némi mozgásterünk.

Az érintett alaplaptípussal rendelkezők feltétlenül állítsanak be BIOS jelszót, valamint tiltsák le a BIOS-on belül az „App Center Download & Install” funkciót, ezzel ugyanis megakadályozható a hibásan implementált szoftver indulása. Szükség esetén akár a fentebb említett három weboldal elérését is blokkolhatjuk.

Az érintett Gigabyte alaplapok listáját ez a PDF fájl tartalmazza.