技嘉固件组件可被滥用为后门，影响700万台设备，易触发供应链攻击

安全公司 Eclypsium 发布报告指出，“虽然调查尚未证实遭特定威胁行动者的利用，但一款难以传播的广为传播的活跃后门为使用 Gigabyte 系统的组织机构带来供应链风险。” 这一问题影响700万台设备。

研究人员在平台触发了对看似与 BIOS/UEFI rootkit 一致的行为的检测后，发现了该易受攻击的实现。这类 rootkit 也被称为 bootkit，它们非常危险，且由于位于底层系统固件中以及每次启动时会在操作系统中注入代码，因此难以消除。这意味着重装操作系统甚至修改硬盘驱动均无法清除该感染，而会再次出现。

该UEFI 固件本身是一款具有不同模块的迷你操作系统，在引导序列传递给引导程序和已安装的操作系统之前，处理硬件初始化。这种将代码从固件注入操作系统内存的过程此前就曾用于多种特性实现中。例如，某些具有反盗特性的 BIOS允许用户远程追踪并擦除被盗计算机，方法就是让 BIOS 代理Absolute LoJack将一款应用程序注入到操作系统中，即使重装也不例外。

研究人员早在2014年就曾警告称，LoJack Windows 代理可被滥用与恶意服务器连接。2018年，研究人员发现，APT28 滥用了这一技术。滥用情况与 Gigabyte 的固件模块类似，都是在系统启动过程中将一款 Windows 可执行文件注入到 WPBT ACPI 表中。Windows 会话管理器子系统 (smss.exe) 自动执行并在 Windows system32 文件夹 GigabyteUpdateService.exe 中写入文件。BIOS 的目的是在 BIOS 特性 APP Center Download & Install 启用时，自动部署 Gigabyte 系统和驱动更新应用。

Gigabyte 更新应用通过三个 URL 自动搜索下载并执行的更新。其中一个更新是通过 HTTPS 连接的 Gigabyte 下载服务器，另外一个是同样的服务器但连接只使用了 HTTP，第三个是不符合要求的域名 software-nas （也可是局域网设备）的URL。

其中两种文件下载方式问题重重。未加密的HTTP连接易受中间人攻击。位于同样网络或控制网络上路由器的攻击者可将系统定向一台受控制的服务器，而应用程序无法了解它是否与真实的 Gigabyte 服务器通信。

第三个URL方法同样存在问题，甚至更容易遭滥用，因为受陷系统上同样网络中的攻击者可部署一台 web 服务器并将计算机的名称设为 software-nas，甚至无需使用 DNS 欺骗或其它技术。最后，HTTPS 连接也易受中间人攻击，因为该更新应用不会正确实现服务器证书验证，也就是说攻击者仍然可以欺骗服务器。

另外一个问题是，即使 Gigabyte 工具和更新经由合法签名进行了数字化签名，该固件仍然不会对任何可执行文件执行数字化签名验证或认证，因此攻击者可轻易滥用该特性。

研究人员指出，“近年来，发现新 UEFI rootkit 的速度大幅提高，如 LoJax （2018）、MosaicRegressor (2020)、FinSpy (2021)、ESPectre (2021)、MoonBounce (2022)、CosmicStrand (2022) 以及 BlackLotus (2023)。多数用于启用其它基于操作系统的恶意软件。这些 Gigabyte 固件镜像以及持续释放的 Windows 可执行文件也可实现同样的攻击场景。一般而言，如上植入会使原生 Windows 可执行文件看似合法的更新工具。在 MosaicRegressor 的情况中，该 Windows payload 被命名为 ‘IntelUpdater.exe’。”

研究人员建议使用 Gigabyte 系统的组织机构禁用 UEFI 中的 App Center Download & Install 特性，并拦截防火墙中的三个 URL。组织机构也可查找这些 URL 的连接，检测哪些系统易受影响，不过应当更广范围地查看源自其它厂商类似特性的连接。即使并未部署在固件中，但个人计算机制造商预装在计算机中的程序也可能引入漏洞。这与联想应用 Superfish 部署可遭滥用的不可信根证书的情况一样。”

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~