#it那些事儿# 这两天曝出漏洞的就是大名鼎鼎的技嘉-GIGABYTE,在检测更新这里翻了车。
据国外专注固件的网络安全厂商Eclypsium披露,他们在台湾制造商技嘉出售的主板固件中发现了漏洞。
技嘉主板的计算机重新启动时,主板固件中的代码就会悄悄地启动一个更新程序,然后这个更新程序会下载并执行另一个软件。
问题就出在这个更新的机制上,经过逆向分析发现,这个更新程序对下载的内容完全没有任何校验就直接来运行了!
更可笑的是,这个更新程序允许在一些情况下,不经HTTPS,而是直接使用HTTP来下载文件。
假如,黑客通过一些手段,将HTTP中访问的域名劫持到自己的服务器上,那技嘉更新程序将会下载到自己提前准备的恶意程序,可以是一个勒索病毒,一个挖矿程序,一个木马,一个任意的程序。因为技嘉根本没做校验!
那么使用HTTPS就一定安全了吗?
不一定。通过逆向分析发现,技嘉并未对HTTPS建立连接过程中的服务器证书进行校验,导致黑客同样可以构建一个假的HTTPS服务,完成攻击。
#昀哥推荐阅读# http://t.cn/A6pVyPdD
【影响面分析】
Eclypsium 研究人员共列出了两百多种受到影响的技嘉主板型号,国外媒体报道称受影响数量达到百万级别。
由于该域名可能挂载了技嘉公司的其他更新服务,根据奇安信的数据视野范围的评估,全球受影响机器的数量级至少在十万以上。
【总结】
通过对技嘉系统存在潜在后门的代码分析,可以确认其在下载更新程序时,并未做任何有效验证,并且使用HTTP协议进行下载时,很容易造成中间人攻击(MITM)。此外,更新过程的不安全性通过受感染的路由器、同一网段上受感染的设备、DNS中毒或其他网络操纵为中间人攻击(MITM)技术打开了大门。
在历史上,使用该种类型的OEM潜在后门攻击案例不在少数,甚至有APT组织利用该种手法进行攻击。可见OEM底层代码的安全性不足会产生极其严重的后果。
#昀哥推荐阅读# http://t.cn/A6pVyPdk
发布于 北京
