Die Sicherheitsexperten von Eclysium haben entdeckt, dass Gigabyte in der UEFI-Firmware hunderter seiner Mainboards eine Backdoor installiert hat. Laut Eclysium wird der Code von Gigabyte dafür genutzt, um Firmware-Updates entweder über das Internet oder über einen angeschlossenen Speicher in einem lokalen Netzwerk zu installieren. Den Forschern zufolge ist das Tool jedoch größtenteils ungesichert, was bedeutet, dass jeder böswillige Akteur, der davon weiß, potenziell seinen eigenen Code auf das PC-Mainboard installieren kann.
Das Problem wurde über eine ausführbare Windows-Startdatei entdeckt, die neue UEFI-Firmware installieren kann. Diese wird von einem ungesicherten Gigabyte-Server heruntergeladen und ohne jegliche Signaturprüfung installiert.
In dem Blog-Eintrag von Eclysium heißt es, dass diese Sicherheitslücke dazu führen könnte, dass Angreifer die OEM-Backdoor nutzen, um schädlichen Code wie Rootkits entweder direkt auf den Rechner des Nutzers zu laden oder den Server von Gigabyte zu kompromittieren. Auch “Man in the middle”-Angriffe, bei denen der Download-Prozess über einen zusätzlichen Vektor abgefangen wird, sind möglich.
So können die Updates blockiert werden
Eclysium gibt in seinem Bericht drei Gigabyte-URLs an, die von Benutzern oder Administratoren blockiert werden können, um internetbasierte Updates zu verhindern. Konkret wird empfohlen, diese URLs zu blockieren:
- http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://software-nas/Swhttp/LiveUpdate4
Hunderte von Gigabyte Motherboard-Modellen sind betroffen, darunter auch einige der neuesten Retail-Boards für High-End-Systementwickler. Eine vollständige Liste können Sie hier einsehen (PDF-Dokument). Eclysium erklärt, dass Gigabyte über die Sicherheitslücke informiert wurde und dass das Unternehmen plant, das Problem zu beheben, vermutlich mit einem – sie ahnen es – Firmware-Update.