Onderzoeker treft uefi-code met kwetsbaarheid aan bij Gigabyte-moederborden

De kwetsbaarheid in de uefi-code die een onderzoeker aantrof in de driver van ThinkPad-laptops van Lenovo, zit ook in uefi-code van een groot aantal Gigabyte-moederborden. Het gaat om moederborden met chipsets voor Sandy Bridge- tot en met Broadwell-processors.

Beveiligingsonderzoeker Alex James trof de kwetsbaarheid aan bij de Gigabyte-moederborden Z68-UD3H, Z77X-UD5H, Z87MX-D3H en Z97-D3H. Daarmee zijn moederborden met chipsets voor Intels Sandy Bridge tot en met Broadwell getroffen en James concludeert dan ook dat nog veel meer moederborden kwetsbaar zijn. Ook is de guid van de eufi-driver van Gigabyte anders dan die van de driver van de ThinkPads en de HP-laptop die eerder kwetsbaar bleek.

Naast de moederborden is nog een laptop gevonden die een kwetsbare driver heeft: de Fujitsu Lifebook A574/H. Vermoedelijk worden de komende tijd meer systemen gevonden die vatbaar zijn voor de exploit die beveiligingsonderzoeker Dmytro Oleksiuk eerder deze maand publiceerde.

Het leek aanvankelijk te gaan om code voor SmmRuntimeManagementCallback()-functie die Intel voor zijn 8 Series-chipset distribueerde, maar het probleem lijkt nu omvangrijker te zijn. Via het lek kan een systeem overgenomen worden en zijn diepe beveiligingslagen te omzeilen. Volgens de ontdekker van het zeroday-lek is de kans klein dat kwaadwillenden de exploit daadwerkelijk misbruiken.

Update: Tweaker Vipeax ontdekte dat ook de uefi-driver van de Gigabyte GA-Z77X-UP7 kwetsbaar is.

ThinkPwn op Gigabyte moederbord

Reacties (37)

Paprika 6 juli 2016 19:07

En ik kan inmiddels al bevestigen dat mijn GA-Z77X-UP7 inderdaad dezelfde code bevat.

https://i.snag.gy/1ErsMd.jpg

Mocht iemand anders nog een Gigabyte bordje hebben waarvan hij/zij het wil weten: stuur me maar je BIOS

[Reactie gewijzigd door Paprika op 23 juli 2024 11:24]

AKADooIE @Paprika • 7 juli 2016 09:46

Zit de kwetsbaarheid ook op de Z87-G45 versie?

Paprika @AKADooIE • 7 juli 2016 13:32

Lijkt er niet op. MSI heeft een eigen implementatie gemaakt zo te zien.

AKADooIE @Paprika • 7 juli 2016 14:20

Top thnx!

Rettsu 6 juli 2016 17:35

ik vraag mezelf altijd af hoe hun precies weten dat het een lek is, voeren ze die code uit of hoe doen ze dat precies?

TheBlackbird @Rettsu • 6 juli 2016 17:44

Omdat ze kunnen zien aan een bepaalde variabele of functie in de UEFI-code dat ze een waarde kan aannemen die groter/langer is dan bedoeld, en zo kan een buffer overflow veroorzaakt worden waardoor code kan overschreven worden met kwaadaardige andere code.

Een simpel voorbeeld zou een tekstvariabele kunnen zijn, waar geen beperking staat op de lengte die het kan hebben. Dan kun je die vullen met een waarde die zo groot is dat ze ander geheugen begint te overschrijven.

Het screenshot dat je onderaan het artikel ziet is van IDA, een disassembler/decompiler waarmee je uitvoerbare bestanden, maar ook dumps van firmware kunt decoderen. Je ziet in dit geval een stukje gedumpte EFI-code die gedecodeerd is in - relatief - leesbare programmeercode. En zo kun je zaken ontdekken die er kwetsbaar uit zien, die uiteindelijk kunnen leiden tot een exploit.

Dit is de tool die serieuze hackers gebruiken om 0-day exploits te ontdekken. Wordt ook gebruikt om virussen te analyseren en is dus een vaste waarde bij antivirusbedrijven.

[Reactie gewijzigd door TheBlackbird op 23 juli 2024 11:24]

Paprika @TheBlackbird • 6 juli 2016 18:50

In dit geval is de hexrays output zelfs 1 op 1...

https://github.com/Cr4sh/ThinkPwn/blob/master/src/ThinkPwn.c

Ik heb zelf een GA-Z77X-UP7. Als ik genoeg tijd heb vanavond ga ik eens proberen om de code een beetje te herschrijven om te zien of ik het op mijn pc werkende krijg.

Verwijderd @Paprika • 6 juli 2016 21:20

Hopen dat je dual-bios hebt voor als het misgaat?

Wel super cool dat je dat probeert.

Behalve een admin-dialoog in windows kan je toch zo flashen vaak..

mooie exploit dan... ben je mooi klaar mee als je dat niet weet, dat het gebeurt dat je een dikke exploit op je mobo geflashed krijgt.
Wake-on-lan en dan 's-nachts lekker minen en DOSen.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 11:24]

Paprika @Verwijderd • 6 juli 2016 21:29

Ja, ik heb een dual-bios switch

.

Het wordt was leuk als je daarna het flashen blokkeert en dan de exploit gebruikt om een virus zichzelf te laten installen. Kun je zoveel OS reloads doen als je wilt. De enige oplossing is...

Verder heb ik besloten eens te gaan knoeien. Als ik hello world geprint krijg maak ik wel een foto...

[Reactie gewijzigd door Paprika op 23 juli 2024 11:24]

Verwijderd @Paprika • 6 juli 2016 21:33

Haha, super cool.

Baserk @Paprika • 7 juli 2016 01:38

"Hell O World"

Zonder gekheid, ik wacht je foto af.

Verwijderd @TheBlackbird • 6 juli 2016 21:19

Hiervoor heb je als ik het goed heb in Linux distributies toch b.v. SELinux, of Apparmor?
Grappig dat het dan op software-niveau nog veiliger kan zijn, zegmaar.

johnkeates @Rettsu • 6 juli 2016 18:03

Ze lezen de code en dan weet je het. Het is net alsof je een boek hebt, als je het gelezen hebt ken je het verhaal.

SBTweaker 6 juli 2016 17:39

Wat is dan het lek? kunnen ze injecteren, kunnen ze gegevens ophalen?

Armin

Netwerk en systeembeheer

@SBTweaker • 6 juli 2016 19:56

Wat is dan het lek? kunnen ze injecteren, kunnen ze gegevens ophalen?

UEFI code kent zogenaamde 'callbacks' waar externe code van andereen aangeroepen wordt. Daar wordt normaal gecontroleerd of die ander een bepaalde restrictieve partij is, maar bij één functie-aanroep is die controle afwezig. Die fout zit in de Intel reference implementatie die door de meeste UEFI/'BIOS' schrijvers domweg overgenomen is.

Nu is het normaal zo dat als je UEFI code kunt aanroepen je eigenlijk al 'binnen' bent, maar het is bekend dat door andere lekken dat soms kan. Dit is dus meer een tweede linie verdediging die nu dus doorbroken kan worden.
De bug is inmiddels wel al gefixt in de Intel code dus de verwachting is dat er UEFI/'BIOS' fixes komen. Maar zoals we weten krijgen oudere hardware niet altijd updates, en ben je uberhaupt afhankelijk van de UEFI/'BIOS' makers om dit ook als belangrijk genoeg te zien om te fixen ...

De meeste waarschijnlijke aanvalsvector is een 'evil maid', ofwel iemand die heel even ongemerkt toegang tot jouw laptop heeft met speciale bootable USB stick en jouw UEFI firmware aanpast met malware. Niet iets waar doorsnee gebruikers last van hebben

Maar in combinatie met andere lekken in het hogere Windows/MacOS is het wellicht mogelijk om deze aanval ook via gewone malware te laten verlopen. Men moet dan uit een browser sandbox komen of de gebruiker op een email link laten klikken, en dan bijvoorbeeld een driver lek gebruiken om toegang tot de UEFI te krijgen. Ik verzin ter plekke maar wat, om aan te geven dat het dus niet triviaal is. Maar malware makers zijn soms erg innovatief zoals we weten.

EDIT: schaamrood op de kaken - EUFI -> UEFI

[Reactie gewijzigd door Armin op 23 juli 2024 11:24]

MneoreJ @Armin • 6 juli 2016 21:28

Unified Extensible Firmware Interface: UEFI. Niet EUFI, zoals je het consequent verkeerd spelt. (No flame intended en uiteraard verdient deze reactie een 0 wegens geen bijdrage aan het topic, maar je bleef maar doorgaan.

)

FreezeXJ @SBTweaker • 6 juli 2016 17:52

Het lek is dat als ze dit kunnen uitvoeren op je computer, ze daarmee hun eigen code met hoge prioriteit en toegang tot 'alles' (meer dan Windows zelf) kunnen laten uitvoeren, en zo dus 'onder de radar' dingen kunnen doen. Wat dat precies is, laat ik aan je verbeelding over

Specifieker zorgen ze hiermee dat ze bepaalde stukken van je geheugen mogen overschrijven waar je CPU zijn geheugenbeheer bijhoudt, en andere interessante dingen doet. Normaal worden die meteen na startup gelocked, en blijven ze dat tot de volgende boot. Helaas worden ze ook unlocked bij een sleep-state, en dan kun je nog wel code uitvoeren. Zie SMM op wiki.

Hier staat een (technische) beschrijving van de hack + wat uitleg.

[Reactie gewijzigd door FreezeXJ op 23 juli 2024 11:24]

qbig1970 6 juli 2016 18:11

Dan maar hopen dat er snel een BIOS-update komt die men kan flashen!
Je moet er toch niet aan denken dat er een onverlaat zo je systeem in kan.

isene @qbig1970 • 6 juli 2016 18:19

Dat lukt mij ook wel zonder deze uefi exploit

Als je windows en linux draait binnen 2 minuten, osx iets langer maar ook niet veel. Heb ik wel fysieke toegang nodig, zoals ook het geval is bij deze exploit

Dramatic @isene • 6 juli 2016 18:56

Succes ermee, Luks encryptie die de gehele harde schijf met AES-256 encrypt.

Kom maar langs

isene @Dramatic • 6 juli 2016 19:09

Je maakt er wel een uitdaging van zo

had er even niet bij stilgestaan omdat 95%van de gebruikers het niet gebruikt

Dramatic @isene • 7 juli 2016 18:30

Het was ook meer zo van; ik ga toch al lang over Arch installeren doen dus dan maar gelijk goed

Maar mn windows schijf is niet geencrypt, dus je kunt gewoon met zo een SAM cracker live cd'tje windows in en dan in chrome al mn wachtwoorden stelen

blorf @Dramatic • 6 juli 2016 20:56

Beter die encryptie te vervangen met een obscuur iets, denk ik. Anders kan misschien iemand met fysieke toegang een gekloonde hd plaatsen met een paar aanpassinkjes zoals opslaan of verzenden van de decryptiesleutel of het rippen van de hele decryptie-sequence in het geval dat geautomatiseerd is zonder handmatige sleutel-invoer. Anders heb je een keylogger nodig

[Reactie gewijzigd door blorf op 23 juli 2024 11:24]

Dramatic @blorf • 7 juli 2016 18:27

Uiteraard een handmatige sleutel

Maar een hardware keylogger zou wel werken inderdaad (hoewel dat bij mn laptop meer opvalt dan bij een pc). Verder heb je natuurlijk nog opties van een pistool tegen mn hoofd zetten ofzo

keranoz

6 juli 2016 17:34

Mijn Z87X-D3H zal ook wel kwetsbaar zijn dan.

Edit: Is deze bug ook remotely exploitable of moet hiervoor iemand al toegang hebben tot je systeem? Zou dit bijvoorbeeld ook via een browser exploit gedaan kunnen worden?

[Reactie gewijzigd door keranoz op 23 juli 2024 11:24]

huntedjohan @keranoz • 6 juli 2016 17:57

Wat ik gelezen heb zou je hiervoor toch fysiek toegang moeten hebben tot het systeem. Daarom Denk ik ook dat

Volgens de ontdekker van het zeroday-lek is de kans klein dat kwaadwillenden de exploit daadwerkelijk misbruiken.

redelijk waar zal zijn.

FreezeXJ @huntedjohan • 6 juli 2016 18:22

Niet noodzakelijk, maar je zult wel dingen met admin-rechten moeten kunnen draaien, dus het zal gecombineerd moeten worden met andere hacks/gaten om binnen te komen. Gezien de hoeveelheid mensen die NakedAnnaKournikova.jpg.exe opent (al dan niet met admin-rechten als het programma daarom vraagt) denk ik dat dat het probleem niet moet zijn.

Daarna kan je programma deze truc gebruiken om bij de volgende boot onzichtbaar te worden voor eigenlijk alles wat jij kunt (laten) controleren.

ray0755 6 juli 2016 18:30

Uit het artikel van The Register:

Further quips by other researchers claim HP Pavillion lines may also be affected.

http://www.theregister.co.uk/2016/07/06/nasty_bios_bug_slugs_gigabyte_hackers_say/

Als deze bug standaard in het BIOS/EFI zit, zal het mij niks verbazen als ieder merk getroffen is.

[Reactie gewijzigd door ray0755 op 23 juli 2024 11:24]

Blokker_1999

Netwerk en systeembeheer

@ray0755 • 7 juli 2016 07:13

Aangezien de fout origineel in de referentie implementatie van Intel heeft gezeten mag je er zeker van zijn dat de meeste systemen getroffen zijn.

rbr320 7 juli 2016 03:17

Ben je hier eigenlijk ook vatbaar voor als je het hele secureboot gebeuren uitschakeld, zoals veel van de mensen die Linux gebruiken waarschijnlijk gedaan zullen hebben?

Alex) @rbr320 • 7 juli 2016 04:11

Ja, en dan ben je ook vatbaar voor malware die zich in het bootproces mengt.

Petya, een bepaald soort ransomware, werkt door de bootloader te vervangen door eentje die alles encrypt. SecureBoot voorkomt dit, want Petya wordt (gelukkig) niet herkend.

[Reactie gewijzigd door Alex) op 23 juli 2024 11:24]

rbr320 @Alex) • 7 juli 2016 12:59

Maar je kan alleen met Petya geïnfecteerd raken als je Windows draait, dus die vlieger gaat even niet op

Wat ik bedoelde is dat ik uit andere bronnen heb begrepen dat je niet vatbaar bent voor deze exploit als je het moederbord in legacy oftewel BIOS modus zet, omdat het ouderwetse BIOS nooit is ontworpen om code uit te voeren die niet al in de ROM zit terwijl UEFI dat wel kan. Daar staat de E van Extensible tenslotte voor. In dit artikel wordt daar echter niets over gezegd.

TheDeeGee 6 juli 2016 18:21

Dan zal mijn Z87X-UD5H er ook wel tussen zitten.

Laatste BIOS (F10 van TweakTown) is alweer van eind 2014.

JohanNL 6 juli 2016 18:50

Het was al eerder bekend dat het systeem niet waterdicht is doordat de moederbord makers software hebben gemaakt om direct van je windows naar de uefi bios te gaan of om andere UEFI functies te gebruiken in windows.

Stel je hebt een trojaan o.i.d. die weet hoe je met die UEFI software om kan gaan dan kun je een erg groot probleem hebben.

[Reactie gewijzigd door JohanNL op 23 juli 2024 11:24]

Verwijderd 6 juli 2016 19:13

Ik denk dat men door nog een software stack onder het besturingssysteem te plaatsen een zeer onveilig bouwwerk heeft gecreëerd. Tevens ben ik erg achterdochtig waarom men dit überhaupt heeft gedaan.

Veel besturingssystemen (zoals Windows NT en Linux) hebben helemaal geen BIOS of firmware nodig, in tegenstelling tot MS-DOS.

Dit is al de tweede UEFI exploit die deze week werd gevonden. Vanwege de grootte van UEFI denk ik dat er vele anderen aanwezig zijn.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 11:24]

Op dit item kan niet meer gereageerd worden.

Onderzoeker treft uefi-code met kwetsbaarheid aan bij Gigabyte-moederborden

Lees meer

Reacties (37)

Sorteer op:

Weergave: