Hackers misbruiken gat in kwetsbare maar digitaal ondertekende Gigabyte-driver

Een nieuwe ransomware maakt gebruik van een kwetsbare Gigabyte-driver die nog steeds digitaal ondertekend is en daarom makkelijk geïnstalleerd kan worden. De malware installeert daarna een tweede driver die securitysoftware uitschakelt, waarna de versleuteling begint.

Het gaat om een driver waarvan de privilege escalation-kwetsbaarheid in 2018 al aan het licht kwam, maar die desalniettemin volgens securitybedrijf Sophos nog steeds digitaal ondertekend is door Verisign. Waarom deze kwetsbare driver, die bovendien niet meer gebruikt wordt, dan nog digitaal ondertekend is, is niet duidelijk.

De malware installeert de kwetsbare Gigabyte-driver zonder mitsen of maren dankzij de certificering, die aangepaste driver schakelt Windows driver signature verification uit, om vrij baan te maken voor een tweede driver, die als doel heeft om te zoeken naar aanwezige securitysoftware en deze uit te schakelen. Daarna volgt de daadwerkelijke ransomware-aanval.

De ransomware, genaamd RobbinHood, versleutelt naar eigen zeggen de bestanden van het slachtoffer met een rsa-4096-cypher. Er wordt om een onbekend bedrag gevraagd en gesteld dat dit bedrag na vier dagen iedere dag met 10.000 dollar verhoogd wordt.

Het is volgens Sophos de eerste keer dat ze meemaken dat een 'legitieme' driver op deze manier misbruikt wordt om vanuit kernel space het systeem aan te vallen. De aanval zou werken op Windows 7, 8 en 10.

Reacties (91)

HKLM_ 9 februari 2020 11:39

Waar het om gaat:

The GDrv low-level driver in GIGABYTE APP Center v1.05.21 and earlier, AORUS GRAPHICS ENGINE before 1.57, XTREME GAMING ENGINE before 1.26, and OC GURU II v2.08 exposes ring0 memcpy-like functionality that could allow a local attacker to take complete control of the affected system.

[Reactie gewijzigd door HKLM_ op 23 juli 2024 19:05]

Leemeijer 9 februari 2020 11:59

Ik mis even waar deze driver voor is. Moederbord, grafische kaart? Wat?

Verwijderd @Leemeijer • 9 februari 2020 12:29

Volgens een artikel op Tomshardware gaat het om drivers voor Gigabyte moederborden:

However, instead of releasing a patch to fix the vulnerability for its older motherboards, the company discontinued support for that driver. This poor judgement on Gigatebyte’s part has now allowed attackers to weaponize its unpatched driver.

Bron: https://www.tomshardware....ver-cybersecurity-malware

Tozz @Leemeijer • 10 februari 2020 10:08

Ik denk niet dat dat relevant is? Waar het om gaat is dat de driver is gesigned en daarmee eenvoudig met malware mee geleverd kan worden en geinstalleerd kan worden zonder moeilijke vragen aan de gebruiker. Dat de driver verder niet wordt gebruikt omdat de hardware ontbreekt is dan waarschijnlijk niet relevant. Het lek kan wel misbruikt worden

mjansen2016 @Leemeijer • 9 februari 2020 13:22

Na even alle links te volgen lijkt het te gaan om de drivers die bij "software suites" komen voor o.a. "performance tuning" en RGB-prullaria, en betreft moederborden en videokaarten. Het betrof destijds producten van Asus en Gigabyte en hun submerken, alleen Asus had hier wel patches voor uitgebracht.

Er staat niks genoemd over de kale chipsetdrivers an sich(die je als alternatief ook direct bij de chipsetfabrikant doorgaans kan vinden), en ik ken eerlijk gezegd niemand die de bijgeleverde drivers+suite van zijn kaartfabrikant gebruikt ipv de standaard AMD/Nvidia drivers+suite.

Marctraider @mjansen2016 • 9 februari 2020 14:44

Tis ook een groot fabel dat je al die troep drivers moet installeren om device manager 'schoon te maken' van exclamation marks.

Meestal is het troep als Intel ME, Smbus, rare controllers die men vaak helemaal niet nodig hebt. Gewoon disablen die meuk.

Zelfde als mensen die nog denken dat het intel chipset drivertje nog iets doet op Win 10 anders dan wat naampjes veranderen/assignen.

BugBoy 9 februari 2020 11:41

Kan zo’n handtekening ongeldig worden verklaard zodat alleen deze driver geblokkeerd wordt? Of is het éénmaal ondertekend niet terug te draaien?

Squ1zZy @BugBoy • 9 februari 2020 11:46

Dat kan zeker. Dit kan gedaan worden door middel van een Certificate Revocation List (CRL). Dit is een soort blacklist met serienummers van certificaten die niet meer geldig zijn. Waarom dit certificaat er nog niet op staat weet ik niet 😊

scribly3 @Squ1zZy • 9 februari 2020 11:49

Omdat dan ALLE drivers van gigabyte ongeldig worden gemaakt.
Al de drivers van gigabyte zijn met hetzelfde certificaat ondertekend, je gaat echt niet voor elke driver versie een nieuw certificaat kopen

Martinspire @scribly3 • 9 februari 2020 14:04

Jammer voor Gigabyte, maar ik denk dat je beter die drivers ongeldig kunt maken en ze forceren nieuwe drivers uit te brengen (of bij de standaard drivers te blijven die Windows al update en waarschijnlijk hetzelfde zijn, inmiddels).

TechSupreme @Martinspire • 10 februari 2020 07:13

Jammer voor Gigabyte, maar ik denk dat je beter die drivers ongeldig kunt maken en ze forceren nieuwe drivers uit te brengen (of bij de standaard drivers te blijven die Windows al update en waarschijnlijk hetzelfde zijn, inmiddels).

Het gaat hier om een RGB controller, windows update installeert dat niet.

downtime @scribly3 • 9 februari 2020 11:59

Jammer voor GigaByte maar dan zal dat certificaat gewoon ingetrokken moeten worden. Dan moeten ze maar niet zo stom zijn om alle software met hetzelfde certificaat te signen.

Henkje.doc @scribly3 • 9 februari 2020 12:20

Die snap ik, alleen nu is feitelijk de gehele certificaten structuur niet meer te vertrouwen. Intrekken, doorhalen, uithuilen en opnieuw beginnen dus.

supersnathan94 @scribly3 • 9 februari 2020 15:19

Ja dus? Hoe is dat ons probleem?

Revoken die handel. Nieuw certificaat en gas op die lollie. Eventueel oudere drivers die wel oke zijn resignen en je kunt weer verder.

Dit kost zo namelijk vele malen meer.

tweaknico @scribly3 • 9 februari 2020 17:09

In hoeverre is Gigabyte dan nalatig in het zorgen voor z'n legacy?...
En aansprakelijk voor schade?.

InsanelyHack @scribly3 • 9 februari 2020 23:19

Is dat erg dan? Ik bedoel voor die specifieke Gigabyte meuk is toch wel iets anders te vinden? Inderdaad een lowlevel driver naar je moederbord zal dan (tijdelijk) niet meer werken maar zaken zoals videokaarten chipset drivers ed. zijn gewoon ook te installeren zonder de herverpakte drivers met een gigabyte sticker erop? Ik zou wél gewoon revoken zeker nu bekend is dat het misbruikt wordt voor ransomware!

Ik ben geen expert op dit gebied maar ik geloof dat jij beweert dat Gigabyte éénmalig een wildcard certificate heeft gekocht en daar de drivers mee signeert. Een revoke kan dan alleen op wildcard niveau. Wellicht dat je dan toch moet nagaan hoe je hier meer veiligheid mee kan inbouwen. Er is niet voor niets een mechanisme zoals het CRL mechanisme.

je gaat echt niet voor elke driver versie een nieuw certificaat kopen

Als dat de (toekomstige) veiligheid ten goede komt zou ik geen reden kunnen bedenken om dat niet alsnog te doen. Die kosten van een certificaat zijn toch peanuts? Ik bedoel als dat te duur lijkt te zijn wordt het misschien tijd om een andere vendor te nemen.

kuurtjes @scribly3 • 9 februari 2020 11:53

Nee maar wel voor elke verschillende driver, en je zou ook een nieuw certificaat aanvragen voor de nieuwere versies die niet lek zijn.

TD-er

@BugBoy • 9 februari 2020 11:56

Met signed drivers is het zo dat je alleen valideert of het certificaat geldig was ten tijde van het ondertekenen.
Volgens mij checkt Windows de driver certificaten eigenlijk alleen ten tijde van de installatie, maar kan me ook goed voorstellen dat Windows het ook prima kan checken tijdens het laden van de driver (bij boot bijv.).

Ik weet niet of het uberhaupt mogelijk is om een dergelijk certificaat achteraf in te trekken, aangezien het geldig was op het moment van ondertekening. (Mits een ondertekende timestamp aan het certificaat is toegevoegd)
Voor zover ik weet gaat de ondertekening dmv een private key van de cert authority, waarvan je de public key kunt gebruiken om 'm te controleren.
Echter deze public key zal ook voor vele andere certificaten gebruikt zijn, dus lijkt het mij heel lastig om dit certificaat in te trekken.
Dit zou alleen maar kunnen als je het hele certificaat laat checken en niet alleen test of het een valide ondertekening heeft. Geen idee of dat bij drivers zo gebeurt.
Is best wel lastig met netwerk-drivers, omdat je dan nog niet online bent als je de driver activeert.

musiman

@TD-er • 9 februari 2020 18:21

Een CA kan meerdere certificaten met dezelfde private key onderteken. Dat is geen enkel probleem. Wanneer een certificaat ingetrokken moet worden, hoeft alleen maar het serienummer van dat certificaat toegevoegd te worden aan de CRL lijst van die CA.
In alle certificaten van die CA staat de url waar de CRL opgehaald kan worden, zodat iedereen kan controleren of het certificaat ingetrokken is.
De CA hoeft alleen maar zijn eigen private key in te trekken, wanneer juist die is gecompromitteerd, maar daar is hier dus helemaal geen sprake van.

De +2 waardering voor jouw bericht is dan ook niet correct.

kaas-schaaf @musiman • 9 februari 2020 20:10

Technisch gezien worden vrijwel altijd OCSP request gedaan en is de CRL alleen voor huishoudtaken nog in gebruik.

Zie ook het wiki artikel

musiman

@kaas-schaaf • 11 februari 2020 12:20

Ik wilde het niet te complex maken.

downtime @BugBoy • 9 februari 2020 11:47

Daarvoor is er de Certificate Revocation List.

Verwijderd @BugBoy • 9 februari 2020 11:48

Daarvoor bestaan er certificate revocation lists (CRLs). Het bijwerken daarvan hoort ook bij de reguliere updates.

cdwave @BugBoy • 9 februari 2020 19:59

Er is een "Revoke List" maar dat werkt natuulijk maar beperkt. Op allerlei manieren kan die niet beschikbaar of bijgewerkt zijn. Technisch zit dat certificaten gedoe prima dicht, maar er blijft gewoon ruimte genoeg voor allerlei menselijke fouten.

Basis probleem bij Windows drivers is dat ze duplicaten van allerhande code bevatten. Op een OS waar drivers code kunnen delen is de kwetsbaarheid veel lager omdat het oplossen van een kwetsbaarheid in een routine deze meteen oplost voor alle drivers die de routine gebruiken. Op een OS waar drivers binair compatible moeten blijven zit er een kopie van die routine in die nooit meer bijgewerkt wordt.

tweazer 9 februari 2020 11:52

Pfoei, je zult als thuisgebruiker maar gepaald worden door deze idioten: betalen, afpersen anders ben je je volledige gegevens kwijt, oh ja na 4 dagen het equivalent van een 2e hands auto, daarna wellicht je huis inleveren als je niet snel genoeg reageert... Poef, daar gaan je administratie, email, familiefoto's etc

Finger @tweazer • 9 februari 2020 12:15

Ach was vroeger niet anders met virussen, dan moest je soms ook compleet opnieuw beginnen. In al die jaren hebben we toch wel moeten leren hoe belangrijk goede backups zijn.

ErikRo @Finger • 9 februari 2020 16:08

Dropbox kan ver terug gaan en heb nog nooit van mallwaregehoord die Dropbox encrypte

Finger @ErikRo • 9 februari 2020 16:38

Nee maar wel al eens inloggegevens buitgemaakt. Sowieso hou ik niet van cloud gebeuren.

Daoka @Finger • 9 februari 2020 18:59

Backups zijn belangrijk inderdaad. Maar dit us toch echt wel iets anders hoor. Met virus moet je wel de os opnieuw installeren maar je heb wel een grote kans dat je foto's en word documenten daarna nog gewoon goed zijn. Zelfs met virus op de computer heb je kans dat je nog gewoon een backup kan maken (al zou ik daarna nog wel de bestanden scannen).

cdwave @Finger • 9 februari 2020 20:04

Wel nieuw is dat er nu een manier is om een hack te verzilveren. Waar een virus vroeger meer een soort "prestige" kwestie was van technisch goed onderlegde lui, is het nu het terrein geworden van een soort digitale tasjesdieven.

JohanNL @tweazer • 9 februari 2020 12:33

Zorg ervoor dat je backups hebt!

MiesvanderLippe @JohanNL • 9 februari 2020 14:55

Dat lost ook niet alles op hoor. Dit soort malware houdt ook erg van netwerk shares. Als je backup niet ook via het netwerk te bereiken is, is de kans groot dat je hem toch niet gebruikt. Je moet dus een NAS hebben die begrijpt wanneer ie versleuteld wordt door ransomware en dat tegen gaat.

The-Source @MiesvanderLippe • 9 februari 2020 15:24

Dat snapt een nas niet want die doet domweg data opslaan. Als jij bewust zelf data encrypted opslaat moet je nas ook niet gaan protesteren.
Een goede manier is dat je bij connectie naar je nas een authenticatie melding krijgt. (Maar dat vind 99,9% van de thuis gebruikers lastig)
Mijn NAS gaat alleen aan als ik een backup ga maken. Apparatuur welke alleen maar Read rechten nodig heeft op mijn nas hebben dat ook alleen. Er blijft altijd een risico dat je op het moment van backuppen geïnfecteerd bent maar aangezien ik alles in eigen beheer heb is die kans klein. (Er zijn geen vreemde pc's aangemeld, en gasten netwerk zit gescheiden van mijn eigen netwerk)

AlfABetA @The-Source • 9 februari 2020 16:40

Ik gebruik voor veel data Onedrive, want daar kun je na een ransomware attack je bestanden wel terug halen.
https://support.office.co...fd-40f4-acc7-b8c12c73637f
Daarbij gebruik ik op mijn synologey nas onedrive cloud sync, waar als het eens echt mis zou kunnen gaan mijn onedrive ver in de tijd kan terug zetten. Hoewel je in onedrive standaard ook al 30 dagen terug kan gaan voor bestanden terug te zetten. Voor al mijn andere data die ik niet in mijn onedrive heb staan, zoals muziek photos, websites, worden door mijn nas een backup gemaakt.

Verder moet ik zeggen voor mensen die veel in cloud hebben staan, Onedrive al echt ver is om je tegen ransomware te beschermen.
https://www.theverge.com/...ure-ransomware-protection
https://www.pcworld.com/a...drive-and-outlookcom.html

InsanelyHack @MiesvanderLippe • 9 februari 2020 23:27

Ransomware leest een file van de nas encrypt deze en saved de file weer terug op de share. Je lost dit alleen maar op door dan een offsite backup te maken zoals ik doe met mijn Synology (hyper-backup) en een automatische email laat sturen wanneer de change rate verdacht hoog is. (bv 5%). De retentie icm "Fullbackup once", "increment forever" icm deduplicatie zorgt ervoor dat je retentie een jaar kan zijn en dat het toch relatief weinig opslag kost.

theobril @tweazer • 9 februari 2020 12:18

Waarschijnlijk leid ik een oninteressant leven met te weinig foto's van belangrijke gebeurtenissen, maar de content van mij pc is max 300 euro waard.

ErikRo @theobril • 9 februari 2020 16:10

Geen foto’s van leuke uitjes stedentrips concerten en festivals? moet er niet aan denken die kwijt te raken.
Ook omdat na x jaar je steeds moeilijker voor de geest kan halen waar iets was en hoe dat was dan is foto film en locatie erg fijn kan ik uit ervaring vertellen.

En als je dat allemaal niet doet overweeg het dan eens.

ALFfx @ErikRo • 9 februari 2020 16:18

Erg fijn om oude dingen nog op negatief dia en papier te hebben.😀
Laatst door een doos gegaan en dat alles zie ik niet gebeuren met al die digitale foto’s.
Die digitale dozen op onze computers zitten te vol.

Luno @ALFfx • 9 februari 2020 17:44

Waarom zou je niet als je SD-kaart vol zit met foto's die in een map stoppen (met briefjes welke periode de foto's zijn), en voor een paar piek een nieuw SD-kaartje in je camera stoppen. Vroeger kostte een negatief film ook een paar piek en daar gingen maar 24 of 36 foto's op. En die gingen we allemaal bewaren in een negatief album.
Doe hetzelfde met SD-kaartjes.

ALFfx @Luno • 9 februari 2020 19:01

De grap is dat alle negatieven en vooral de dia’s nog steeds de kwaliteit hebben van toen. Als ik mijn digitale archief doorneem wordt de kwaliteit steeds beter. Maar die van 1995 zijn echt wel treurig nu 😀
Ik wil niet zeggen dat we terug moeten.
Sd kaartjes kun je zeker bewaren maar je hebt altijd stroom en een apparaat nodig.
Papier heeft dat niet nodig. Mooiste is om een goede schifting te maken voor papier. Maar ja, ik zit nu ook niet die honderduizend digitale foto’s door te bladeren laat staan albums, maar het is wel leuk om na een paar jaar of langer een doos te openen en contacten te bekijken.

sprankel @ALFfx • 10 februari 2020 01:34

Waarom houd je honderduizend foto's bij als je die niet gaat gebruiken of bekijken? Dat is iets waar ik mij gigantisch aan stoor, het continu onnodig alles overal op beeld zetten, daar veel tijd en energie in steken om er vervolgens nooit nog iets mee te doen.

Overigens, die negatieven en dat papier, heel leuk maar denk er ook aan dat als er ooit iets met dat huis gebeurd met name een brand dat je dan al die negatieven en papieren foto's kwijt bent.

killerdemon @Luno • 9 februari 2020 20:24

Vergeet flash geheugen niet na een langere tijd zijn lading?

theobril @ErikRo • 9 februari 2020 18:41

Ik moet bekennen dat ik altijd anderen de foto's laat maken.

Daoka @ErikRo • 9 februari 2020 19:19

Geen foto’s van leuke uitjes stedentrips concerten en festivals?

En als je dat allemaal niet doet overweeg het dan eens.

Dan moet je het wel aankunnen. Ik heb een sociale stoornis waardoor ik nooit zulke dingen doe omdat het al gauw te druk is voor me. En dan moet het financieel natuurlijk ook mogelijk zijn.

Dus nee ik heb ook geen foto's van zulke momenten. Eigenlijk de enigste foto's die belangrijk voor mij zijn zijn de foto's van me ondertussen overleden honden.

ErikRo @Daoka • 9 februari 2020 20:57

Oh ik heb er ook van de cq onze hond veel te vroeg gestorven helaas en van de katten.
Vervelend van je stoornis, vroeger deed ik ook niks op dat vlak maar ik ontdekte ooit, helaas veel te laat, de muziek dat beviel me zo goed dus dwong het me vaker te gaan. En van het een kwam het ander.
Ik zal nooit de populairste worden maar ik red me alleen ook prima en met gps zijn nieuwe steden ook geen probleem meer en geven fijne herinneringen cq ervaringen.
Zo werd mijn wereld steeds groter.
Hopelijk lukt het jou ook ooit.

Daoka @ErikRo • 11 februari 2020 00:43

Zo te horen heb of had jij ook een probleem. Knap van je dat je het overwonnen heb. Dan zullen die foto's van zulke momenten wel extra veel voor je betekenen doordat je er toch meer moeite voor moe(s)t doen dan een ander.

StGermain @Daoka • 9 februari 2020 22:41

Bij mij zijn het katten. Alle foto’s hier worden automatisch geupload naar google photos, weliswaar niet in volle kwaliteit maar als alle gewone backups zouden beschadigd raken door een brand of zo hebben we dat toch nog.

Daoka @StGermain • 11 februari 2020 00:47

Ja huisdieren zijn inderdaad heel leuk. Maar zou je de foto's niet gewoon kunnen uploaden naar Google drive met volle kwaliteit? Zou inderdaad zonde zijn als de foto's niet van goede kwaliteit zijn mocht je ze ooit weer moeten downloaden

StGermain @Daoka • 11 februari 2020 12:18

16 megapixels volstaat voor mij.

Scriptkid @tweazer • 10 februari 2020 07:26

Had je ze maar op onedrive moeten zetten.

Op mijn pc staat letterlijk niks van waarde en tijdens een lock is het gewoon format en 5 min later werkt alles weer.

Onedrive heefy nl 30 dagen versioning en daar boven op encrypty en deletion detectie. Plus er doen meerdere pcs mee met de sync dus 3 copies plus 30 day versioning en detectie.

HoppyF 9 februari 2020 11:48

Het blijft toch wonderlijk dat het zo simpel is om actieve securitysoftware uit te schakelen zodat de ransomware zonder problemen zijn gang kan gaan.
Kan Windows dan niets verzinnen om dit nooit toe te laten en desnoods het OS geforceerd af te sluiten?

houtig @HoppyF • 9 februari 2020 11:53

Ik heb even Sophos pagina doorgelezen. Probleem zit in dat deze malware gebruik maakt van drivers. Deze draait op kernel niveau. Endpoint beveiliging op user niveau dus op een lager niveau.
Dan moet je dus je virusscanner laten draaien op een niveau wat je volgens mij ook niet wilt, denk ik. Wellicht dat iemand anders beter kan vertellen waarom je dat niet wilt.

scribly3 @HoppyF • 9 februari 2020 12:05

Bugs in windows of anders door het problematische gedeelte dat aan het toetsenbord en muis hangt.
Om een driver te laden (ookal heeft het een goede handtekening) moet een applicatie de "seLoadDriverPrivilege" hebben. En dat kan alleen als de huidige gebruiker die permissie heeft.

Blokker_1999

Ransomware
Networking en security

@HoppyF • 9 februari 2020 12:06

En hoe wil je die software dan ooit kunnen verwijderen of upgraden? Of zelf tijdelijk uitschakelen vanwege een false positive?

HoppyF @Blokker_1999 • 9 februari 2020 12:35

Zoiets.
Je moet inderdaad antivirus software zelf kunnen upgraden of verwijderen.
Ongeoorloofd stoppen van antivirus processen zou een trigger moeten zijn voor het OS om in te grijpen.
Zeg maar een soort watchdog die in de gaten houdt wat er met belangrijke processen gebeurt.
Het zal vast niet zo simpel zijn al ik het zeg maar je wilt ook niet de kans lopen geïnfecteerd te worden met ransomware.

Scriptkid @HoppyF • 10 februari 2020 07:27

Dus je vraagt of er niks meer kan bestaan dat admin priv heeft ?

Hoe ga je dan software of drivers instaleren.?

HoppyF @Scriptkid • 10 februari 2020 11:34

Admin rechten is het probleem niet.
Punt is dat ransomware gewoon de kans niet moet krijgen om admin rechten te verwerven.
Gebeurt dit toch, dan zou het OS in moeten grijpen.
Een watchdog dus die altijd draait en processen in de gaten houdt.
Wordt de watchdog gestopt dan zou het OS een shutdown moeten doen.

Scriptkid @HoppyF • 10 februari 2020 12:14

Als jij of het systeem admin kan krijgen kan een malware dat ook.

HoppyF @Scriptkid • 10 februari 2020 12:17

Zou je denken, maar dat moet toch wel te ondervangen zijn?

Scriptkid @HoppyF • 10 februari 2020 16:01

Bedenk hem en je bent een rijk man.

Probleem is alleen dat het wel user friendly moet zijn

MrMonkE 9 februari 2020 12:36

Is het mogelijk windows zo te configureen dat ze voor alles, ook ondertekende drivers, een goedkeuring van de eindgebruiker moeten krijgen?

scribly3 @MrMonkE • 9 februari 2020 13:55

UAC aan laten staan en als een applicatie admin rechten wilt nee zeggen

je kan ook de driver laad rechten uit je admin account halen, maar je krijgt geen melding als iets dat probeerd (mislukt gewoon)

MrMonkE @scribly3 • 9 februari 2020 14:06

UAC heb ik aan staan.

Als je die laad rechten uit je admin account haalt heeft dat ook betrekking op windows updates?
Of draait dat vanuit een systeem account?

mvd64 9 februari 2020 18:43

Kan de eventuele schade verhaald worden op Gigabyte..?

Daoka @mvd64 • 9 februari 2020 19:25

Ik ga er niet van uit. Volgens mij staat in de licentie van de meeste drivers wel iets van "wij zijn niet verantwoordelijk voor enig mogelijke schade".

Reanimator909 @Daoka • 9 februari 2020 21:22

Dat zinnetje kan je overal en altijd negeren, is juridisch niets waard. Dat bepaalt de rechter namelijk. Is jurisprudentie over.

Hier het bekende voorbeeld van jas gestolen uit de garderobe: http://rechtsspecialist.nl/nieuws/jas-weg-uit-garderobe

[Reactie gewijzigd door Reanimator909 op 23 juli 2024 19:05]

Reanimator909 @mvd64 • 9 februari 2020 21:14

Dan zal je ook moeten aantonen hoe groot je financiële schade is, en dat het is veroorzaakt door dit specifieke "gat" zoals het hierboven genoemd wordt. Lijkt me niet eenvoudig. Denk ook dat die procedure via een rechter zal moeten lopen, want de verzekeraar van Gigabyte zal geen aansprakelijkheid erkennen op grond van de EULA.

Scriptkid @Reanimator909 • 10 februari 2020 07:31

Toch denk ik dat je een heel slechte zaak hebt de software van gigabyt heeft nl niet als doel je systeem te beveiligen. Oftewel gigabyte verzuimed nergens in.

Zelfs dan kun jij jouw sloten fabrikant aanklagen als er in huis wordt ingebroken.

asd156 9 februari 2020 13:22

Moeilijk om op internet te zoeken wat je nu het beste kunt doen als je een oude Gigabyte moederbord ooit hebt gehad.

Ik heb namelijk in 2016 de Gigabyte GA-B150M-D3H - Moederbord mATX - B150 - LGA1151 Socket - USB 3.0 - Gigabit Ethernet - HD Audio gehad en geen idee of ik actie moet ondernemen. Iemand een idee?

Kiragi @asd156 • 10 februari 2020 16:38

Dus je hebt het moederbord gehad, en inmiddels niet meer? En sindsdien ook een nieuwe Windows installatie?

Ik denk dat je dan wel safe zit. Volgens Bleeping Computer verspreid de exploit zich via de volgende apps:

GIGABYTE App Center (v1.05.21 and below)
AORUS Graphics Engine (v1.33 and below)
the XTREME Engine utility (v1.25 and earlier)
and OC Guru II (v2.08)

Mocht je deze nog wel op je PC hebben dan denk ik dat een de-install voldoende is. Ik kan slecht vinden of dit de enige manier van verspreiden is, maar het lijkt me logisch dat een Gigabyte driver alleen op systemen geïnstalleerd kan worden waarbij momenteel Gigabyte hardware gebruikt wordt, of nog oude Gigabyte drivers of software aanwezig is als je nieuwe hardware hebt maar voor some reason geen verse installatie hebt gedaan.

Als deze driver op alle Windows 7, 8 en 10 systemen geïnstalleerd kan worden zonder de bovengenoemde randvoorwaarden dan was het denk ik wel groter nieuws geweest.

sanderjk 9 februari 2020 22:21

Een reden waarom ik wel Gigabyte software op mijn PC had staan:
Zonder die software kan je de RGB nonsens niet uitzetten. Stond standaard aan. Altijd een groene led in mijn ooghoek...
In de geüpdate bios kon het wel, en omdat ik sindsdien win10 opnieuw heb geïnstalleerd ben ik voor deze grap veilig, denk ik...

Maar het is wel zorgelijk

Nvidia videocard rgb kon trouwens ook alleen uit door MSI Master te installeren...

TimMer @sanderjk • 10 februari 2020 00:27

Abnormaal inderdaad dat je tegenwoordig verplicht bent om bloatware te installeren om die kermisverlichting uit te zetten; zet dat standaard uit als fabrikant en laat de lichtjesfreaks het zelf maar aanzetten als ze zo graag een discoshow van hun PC willen maken.

Mel33 9 februari 2020 11:48

There are many other vulnerable drivers (with a similar vulnerability) in addition to the Gigabyte driver that these or other attackers may choose to abuse later, such as ones from VirtualBox (CVE-2008-3431), Novell (CVE-2013-3956), CPU-Z (CVE-2017-15302), or ASUS (CVE-2018-18537). But in these attacks, we’ve only seen the Gigabyte driver being abused in this way.

What users can do to prevent this type of attack

Computers that are fully patched and have no known vulnerabilities can still end up in ruin because this attacker brings his own vulnerability. So what can you do to prevent the initial access by the attacker?

Adopt a three-pronged approach to minimize your risk of falling victim to an attack.

1. Threat protection that disrupts the whole attack chain

Today’s ransomware attacks use multiple techniques and tactics, so focusing your defense on a single technology leaves you very vulnerable.
Instead, deploy a range of technologies to disrupt as many stages in the attack as possible. And integrate the public cloud into your security strategy.

2. Strong security practices

These include:

Use multi-factor authentication (MFA)
Use complex passwords, managed through a password manager
Limit access rights; give user accounts and admins only the access rights they need
Make regular backups, and keep them offsite and offline where attackers can’t find them
Lock down your RDP; turn it off if you don’t need it, use rate limiting, 2FA or a VPN if you do
Ensure tamper protection is enabled – other ransomware strains attempt to disable your endpoint protection, and tamper protection is designed to prevent this from happening

3. Ongoing staff education

People are invariably the weakest link in cybersecurity, and cybercriminals are experts at exploiting normal human behaviors for nefarious gain. Invest – and keep investing – in staff training.

[Reactie gewijzigd door Mel33 op 23 juli 2024 19:05]

Verwijderd @Mel33 • 9 februari 2020 13:24

Je haalt oude cve's aan die al lang gefixed zijn. Wat is dan dus je boodschap?

supersnathan94 @Verwijderd • 9 februari 2020 15:23

Kennelijk niet. Anders was dit dus een non-issue geweest.

Verwijderd @supersnathan94 • 9 februari 2020 19:42

Kennelijk wel, als voorbeeld: https://support.microfocus.com/kb/doc.php?id=7012497

Op dit item kan niet meer gereageerd worden.

Hackers misbruiken gat in kwetsbare maar digitaal ondertekende Gigabyte-driver

Lees meer

Reacties (91)

Sorteer op:

Weergave: