新传媒网网络安全公司Eclypsium在技嘉的固件中发现了一个后门,该后门使271 种不同的主板处于危险之中。其中包括过去几年采用 Intel 和 AMD 芯片组的型号,一直到今天的 Z790 和 X670 SKU。该漏洞存在于技嘉用于确保主板固件始终为最新版本的小型更新程序中。显然,它是通过不安全的实现来实现的。
您是否注意到在全新安装 Windows 后,会弹出一个程序为您下载最新的驱动程序或固件?不幸的是,那一小段代码可能会为犯罪分子提供后门。
每次系统重新启动时,固件中的一段代码会启动一个更新程序,该程序连接到 Internet 以检查和下载主板的最新固件。Eclypsium 评估技嘉的实施是不安全的,网络犯罪分子可以利用该漏洞在受害者的系统上安装恶意软件。最大的问题是更新程序驻留在主板的固件中,因此消费者无法轻易将其删除。
技嘉并不是唯一使用此类程序来促进固件更新的供应商。其他主板制造商也采用类似的方法,这引发了它们是否安全的问题。例如,Asus 的 Armoury Crate 软件的功能类似于 Gigabyte 的 App Center。根据 Eclypsium 的调查结果,技嘉的更新程序会 ping 三个不同的固件更新站点:
Eclypsium 评估更新程序在没有适当身份验证的情况下将代码下载到用户系统。它不使用任何加密数字签名验证或其他验证方法。因此,HTTP 和 HTTPS 连接容易受到中间机器 (MITM) 攻击,前者比后者更容易受到攻击。除了连接到互联网,Eclypsium 还发现更新程序可以从本地网络中的 NAS 设备下载固件更新。恶意行为者可以类似地欺骗 NAS 并用间谍软件感染受害者。
更新程序是技嘉主板中的标准工具。Eclypsium 汇总了受影响模型的广泛列表。榜单上的主板多达271款,既有Intel主板,也有AMD主板。有些型号可以追溯到 AMD 400 系列芯片组。不过,即使是最新的 Intel 700 系列或 AMD 600 系列主板也不安全。
Eclypsium 已经与技嘉分享了它的发现,主板供应商正在研究解决该漏洞的解决方案。具有讽刺意味的是,该解决方案可能会以更新的固件形式出现。同时,技嘉主板所有者可以采取一些措施来保护他们的系统。
