Onderzoekers ontdekken ongepatchte backdoor in 271 Gigabyte-moederborden

Onderzoekers van beveiligingsbedrijf Eclypsium hebben een backdoor ontdekt in honderden Gigabyte-moederbordmodellen. Hierdoor kunnen kwaadwillenden grotendeels ongezien malware downloaden. Het probleem is nog niet verholpen, stellen de onderzoekers.

De onderzoekers ontdekten dat de uefi-firmware van het moederbord een Windows-binary loslaat op de pc en vervolgens uitvoert tijdens het opstarten van het besturingssysteem. Dat .net-bestand downloadt en voert vervolgens een andere payload uit die afkomstig is van de Gigabyte-servers. Dit wordt automatisch gedaan om Gigabyte App Center te installeren, een controlecentrum voor het moederbord dat drivers, firmware en applicaties kan installeren en updaten. De manier waarop gebeurt volgens de onderzoekers echter op onveilige wijze.

De payload wordt namelijk via een onveilige http- of een niet goed geconfigureerde https-verbinding binnengehaald. Het bestand wordt tevens helemaal niet gevalideerd alvorens deze gedownload wordt. Hierdoor is er relatief eenvoudig een man-in-the-middle-aanval uit te voeren door kwaadwillenden, die op deze manier vrijwel onzichtbaar computers van slachtoffers kunnen infecteren met malware, stelt het Eclypsium-onderzoeksteam.

De backdoor lijkt nog niet misbruikt te zijn, al waarschuwen de onderzoekers dat dat alsnog mogelijk is. Het lek is nog niet gedicht, maar het beveiligingsbedrijf zegt wel in gesprek te zijn met Gigabyte. Laatstgenoemde is volgens de blogpost van plan om het probleem snel op te lossen.

Eclypsium maakt melding van 271 modellen moederborden die gebruikmaken van deze backdoor. Er zijn dus mogelijk miljoenen moederborden met dit beveiligingslek. Het bedrijf heeft alle moederborden met deze backdoor in een pdf-overzicht geplaatst. Aan gebruikers die zo'n moederbord bezitten, wordt aangeraden om tijdelijk de APP Center Download & Install-functie in de bios-uefi van het moederbord uit te schakelen en een bios-wachtwoord in te stellen zodat de functie niet automatisch weer aangezet kan worden.

Reacties (116)

Admiral Freebee

31 mei 2023 21:52

Is dat die automatische download en pop up van Gigabyte App Center? Zo ja, dan kan je die uitschakelen in de UEFI configuratie door het volgende op disabled te zetten:
Peripherals > APP Center Download & Install Configuration

Ik vroeg me na een UEFI reset al af waarom ik in Windows een popup bleef krijgen om Gigabyte App Center te installeren. Dat wordt dus aangestuurd door bovenstaande optie. Het lijkt mij dat je door dit uit te schakelen ook de kwetsbaarheid vermijdt.

Het artikel op Eclypsium.com lijkt dat ook te bevestigen en raadt het volgende aan:

Scan and monitor systems and firmware updates in order to detect affected Gigabyte systems and the backdoor-like tools embedded in firmware. Update systems to the latest validated firmware and software in order to address security issues like this one.

Inspect and disable the “APP Center Download & Install” feature in UEFI/BIOS Setup on Gigabyte systems and set a BIOS password to deter malicious changes.

Administrators can also block the following URLs:
http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
https://software-nas/Swhttp/LiveUpdate4

[Reactie gewijzigd door Admiral Freebee op 24 juli 2024 00:18]

Ventieldopje @Admiral Freebee • 31 mei 2023 22:11

Ik heb voor de zekerheid maar een wachtwoord ingesteld maar kon de bovengenoemde optie nergens vinden (in advanced mode met een B550 AORUS ELITE AX V2) of ook maar iets wat er op leek. Maar ik heb dan ook de netwerk stack uit staan, wat misschien wel scheelt?

De v2 staat dan ook niet specifiek in het pdf overzicht maar you never know

[Reactie gewijzigd door Ventieldopje op 24 juli 2024 00:18]

Xxana @Ventieldopje • 1 juni 2023 15:07

Ik denk dat dit het is:

Settings => IO Ports => Gigabyte Utilities Downloader Configuration

andru123 @Ventieldopje • 1 juni 2023 00:01

Het zou mij niet verbazen meer, als je wachtwoord ook in open text via http naar de gigabyte server wordt gestuurd. Al voor je gebruiker gemaak, natuurlijk

Xfade @Ventieldopje • 1 juni 2023 04:12

Die optie heet dan "Gigabyte Utilities Downloader Configuration" in Advanced > Settings.

Ventieldopje @Xfade • 1 juni 2023 10:26

Gelukkig die optie (of uberhaupt iets dat download of update heet) niet kunnen vinden, ook niet bij QFlash etc.

Maar misschien goed om deze namen in het artikel op te nemen @Kevinkrikhaar ?

SECURITEH @Xfade • 1 juni 2023 11:00

Ik heb op die van mij ook helemaal niets kunnen vinden wat het zou kunnen zijn in de bios.

Blizzard_1978 @Ventieldopje • 1 juni 2023 09:07

Klopt had voorheen een B550 ProV2 die het ook niet had, heb nu een x570s Elite AX die t wel heeft en heb dat direct uitgezet, is net zo irritant als Razor muizen die automatisch dingen gaat installeren, dus niet alle moederborden hebben het schijnbaar.

SkyStreaker @Admiral Freebee • 1 juni 2023 09:15

Dit heeft MSI inmiddels ook met de laatste FW update voor o.a. x570 Gaming Plus. Dit is echter opt-in.

nullbyte @Admiral Freebee • 1 juni 2023 12:22

Mijn Asus moederbord wil armoury crate installeren na een herinstall van het OS. Ook dit is in de settings van het UEFI uit te zetten. Verder is er een prompt van het UAC bij opstellen. Ik vind het dan ook vreemd dat dat bij de Gigabyte moederborden niet het geval is.

Xfade @nullbyte • 1 juni 2023 13:08

Ik kreeg bij mijn Gigabyte bord ook die UAC waarschuwing bij de eerste keer in Windows na installatie.
Maar dat is dus niet helemaal het security probleem, dat is hoe die Gigabyte .net met hun server communiceerd.

nullbyte @Xfade • 1 juni 2023 15:58

Reactie aangepast, never mind het is de "Lojack Double-Agent" die aan Fancy Bear gelinkt is.

[Reactie gewijzigd door nullbyte op 24 juli 2024 00:18]

AORUS – GIGABYTE 1 juni 2023 11:00

We hebben sinds vanmorgen de volgende update gedaan:

GIGABYTE engineers have already mitigated potential risks and uploaded the Intel 700/600 and AMD 500/400 series Beta BIOS to the official website after conducting thorough testing and validation of the new BIOS on GIGABYTE motherboards.

To fortify system security, GIGABYTE has implemented stricter security checks during the operating system boot process. These measures are designed to detect and prevent any possible malicious activities, providing users with enhanced protection:

1. Signature Verification: GIGABYTE has bolstered the validation process for files downloaded from remote servers. This enhanced verification ensures the integrity and legitimacy of the contents, thwarting any attempts by attackers to insert malicious code.

2. Privilege Access Limitations: GIGABYTE has enabled standard cryptographic verification of remote server certificates. This guarantees that files are exclusively downloaded from servers with valid and trusted certificates, ensuring an added layer of protection.

BIOS updates for the Intel 500/400 and AMD 600 series chipset motherboards will also be released on the GIGABYTE official website later today, along with updates for previously released motherboards.

Even een kleine technische toevoeging aangezien je niet op je eigen comment kunt reageren.
Dergelijke man-in-the-middle vulnerabilities kunnen worden misbruikt door de link naar het te downloaden bestand te spoofen. Dit vergt a) toegang tot het systeem, b) toegang tot de DNS van de router of c) toegang tot de webserver waar de firmwares gehost worden.

Blij dat er nu een signature check in zit, en eigenlijk zouden dit soort dingen juist in een externe github opgeslagen moeten worden of bij iedere stap in dit proces een hele goeie check.

[Reactie gewijzigd door AORUS – GIGABYTE op 24 juli 2024 00:18]

locke960 @AORUS – GIGABYTE • 1 juni 2023 21:16

Dit vergt a) toegang tot het systeem, b) toegang tot de DNS van de router of c) toegang tot de webserver waar de firmwares gehost worden.

d) een hardware fabrikant die denkt dat het een goed idee is dat hun hardware zelfstandig de door de gebruiker geïnstalleerde software aanpast, om zo ongevraagd software van het internet te downloaden en te installeren.

Het verbaast me niets dat slechte ideeën weer hand in hand gaan met slechte uitvoering, slecht testen en slechte inzichten in elementaire beveiliging.

AORUS – GIGABYTE @locke960 • 2 juni 2023 09:31

Het blijft natuurlijk een opinie maar ansich is er niets mis met de autoinstall feature van de UEFI. Er wordt overigens geen user-installed software aangepast, het wordt uitsluitend gebruikt om APP Center the installeren.
In deze applicatie zal NIETS automatisch worden gedownload of geinstalleerd. Firmware en driver updates zullen handmatig moeten worden gestart. Het heeft alleen de functie om de juiste updates voor jouw specifieke hardware (revisies) in een oogwenk te vinden.

Thanks voor je feedback btw, ben het er mee eens dat de uitvoering haaks op fundamentele beveiligingsconcepten staat maar we zijn blij dat dit nu is opgelost.

netfast @locke960 • 2 juni 2023 14:29

of
e) iemand met een wifi pineapple die simpelweg tussen de pc en het internet zit. Hoef je niet eens bij de PC te zijn, kan je van afstand een ander bestand serveren....

beany 31 mei 2023 20:28

Dat .net-bestand downloadt en voert vervolgens een andere payload uit die afkomstig is van de Gigabyte-servers. Dit wordt gedaan om de firmware up-to-date te houden

WHY?????????? Doe eens niet!!!!!!! En zelfs tijdens het starten van Windows. Ook lekker trouble shooten als er ineens ergens iets niet klopt.

Laat de gebruiker ZELF bepalen wanneer er updates worden uitgevoerd. Alles en iedereen 'belt' maar naar 'huis' toe tegenwoordig.

Frame164 @beany • 31 mei 2023 20:35

Dat is leuk voor geavanceerde gebruikers. Maar voor de gemiddelde gebruiker betekent dat gewoon dat de PC na een paar maanden zo lek is als een mandje.

GekkePrutser @Frame164 • 31 mei 2023 20:43

Losse moederboarden zoals die van gigabyte worden sowieso niet gekocht door je oma. Maar door gamers die zelf een PC samenstellen of er een kopen waarvan ze precies weten wat ze willen.

Bovendien, welk merk doet dit zo?? Mijn Intel NUC's firmware moet ik echt zelf updaten. Mijn ASRock ook. Een laptop heb ik dit ook nog nooit zien doen. Die zijn veel meer voor consumenten bedoeld.

Dit is inderdaad een nogal rare manier zoals @beany zegt, en ook eentje die potentieel problemen kan veroorzaken. Het injecteren van binaries in het boot proces van Windows is een rare oplossing en eentje die behoorlijke problemen kan veroorzaken. Zoals nu gebeurt, maar het kan ook bijvoorbeeld crashes veroorzaken in een nieuwe versie van windows die net ff anders werkt. Lekker als dat gebeurt tijdens het bootproces voor je er iets aan kan doen. En ook: Sinds wanneer draait iedereen windows?

En verder, om over het hele privacy aspect nog maar niet te beginnen...

Als je het echt automatisch wil doen, geef de gebruiker dan een goede toolchain in de officiele driver met een companion applicatie die je netjes adviseert of waar je auto-updates in kan aanzetten. Zorg er samen met Microsoft voor dat die netjes via Windows Update binnengehaald wordt. Zo hoort dat.

[Reactie gewijzigd door GekkePrutser op 24 juli 2024 00:18]

cricque @GekkePrutser • 31 mei 2023 21:27

Er zijn genoeg zelfbouwers die geen "pc" kennis hebben en die maar iets doen. Maar het is echt niet omdat je een pc zelf bouwt dat je er ook kennis van hebt. De kans is groter uiteraard, maar ken genoeg mensen die in IT werken die geen pc kunnen bouwen en ken genoeg mensen die wel een pc in elkaar krijgen, maar voor de rest geen kaas gegeten hebben van IT

Finraziel

@cricque • 31 mei 2023 22:16

Maar het installeren van de software van je moederbordleverancier, dat vind jij "kaas gegeten hebben van IT"?
Ik vind het ook absurd dat die moederborden dit blijkbaar uit zichzelf doen... Ik kan er ook niet bij dat ze bij Gigabyte dachten dat dit een goed idee zou zijn. Voor mij is het een enorme red flag en mijn eerste gedachte is nooit een Gigabyte moederbord te gebruiken (nou was ik al geen fan dus ze verliezen weinig aan me, maar goed).
Eerlijk gezegd vind ik dit ernstiger dan waar bij Asus zoveel ophef over was (niet dat dat goed was, maar ik zag wel hoe het kon gebeuren en niet alleen maar op de 'Asus is evil' manier die veel mensen zagen).

batjes @Finraziel • 1 juni 2023 10:46

Loop eens het eerste jaar MBO niveau 3 of 4 binnen. Het installeren van een stukje software betekend bij 99% van de studenten "Hackerman"-meme.

nullbyte @cricque • 1 juni 2023 16:05

Maar het is echt niet omdat je een pc zelf bouwt dat je er ook kennis van hebt.

Het is idd net lego, zet een ytube totutial PC bouwen op als noob en je komt er wel.

Propheticus

@GekkePrutser • 1 juni 2023 09:09

...
Bovendien, welk merk doet dit zo?? Mijn Intel NUC's firmware moet ik echt zelf updaten. Mijn ASRock ook. Een laptop heb ik dit ook nog nooit zien doen. Die zijn veel meer voor consumenten bedoeld.
...

Nieuwe/High end ASrock moederborden hebben iets wat ze "Auto Driver Installer (ADI)" noemen.
De handleiding omschrijft het zo:

ASRock motherboard already has its Ethernet driver prepacked in BIOS ROM. When you finish installing the operation system, simply use the Auto Driver Installer to download and install all necessary drivers automatically.
...
will automatically pop up for users to install drivers only when the “Auto Driver Installer“ item under the “Tool“ menu in the BIOS is set to [Enabled].

Bron: heb zelf een ASRock X670E PG Lightning

[Reactie gewijzigd door Propheticus op 24 juli 2024 00:18]

Fireshade @GekkePrutser • 2 juni 2023 13:54

Een laptop heb ik dit ook nog nooit zien doen. Die zijn veel meer voor consumenten bedoeld.

Ja, die doen ook bios en firmware updates, hoor. Niet allemaal, maar de grootste merken zitten er wel tussen, zoals Dell en Lenovo. Naast hun business laptops ook voor hun consumentenlaptops

Triblade_8472 @Frame164 • 31 mei 2023 20:50

Ik zie de laatste tijd veel HP bios firmware via Windows update uitgevoerd worden (wat een drama is met Bitlocker power on password).

Dus waarom zou dit allemaal niet via geverifieerde Windows updates kunnen? Lijkt mij een prima en goed beveiligde optie!

Verwijderd @Triblade_8472 • 31 mei 2023 21:43

Ik denk geld...

_JGC_ @Verwijderd • 31 mei 2023 22:47

Of moeite...

Een OEM als HP, Dell of Lenovo doet dit tegenwoordig via Windows Update, met name voor de zakelijke modellen. Dat is gewoon 1x per jaar een nieuwe serie met tig jaar na de release een paar keer per jaar een update. Meestal delen alle modellen uit dezelfde serie hetzelfde firmware platform.

Nu de moederbord fabrikanten... pak Gigabyte website, selecteer Intel Socket 1700, 13 moederborden. Pak de Z790 chipset, 4 moederborden die nagenoeg identiek zijn. Alle 4 borden een eigen BIOS... gekkenwerk. Microsoft ziet je aankomen.

indigo79 @Frame164 • 31 mei 2023 20:50

En nu is hij per direct zo lek als een mandje...

FreezeXJ @indigo79 • 31 mei 2023 22:45

Yep, da's een risico dat je neemt, ook als je iets als Pluton, een Trusted Platform Module of whatever Trusted Computing hebt... Allemaal remote aan te sturen door een fabrikant die je maar moet vertrouwen, want ze hebben echt het beste met je voor. Oh en nee je kunt het niet uitzetten, tenzij je heel erg goed weet wat je doet.

bwerg @FreezeXJ • 31 mei 2023 23:44

Laten we niet doen alsof de reden van dit lek ook maar in de verste verte lijkt op het risico op pluton. Daar ben ik ook bepaald geen fan van maar dat wordt waarschijnlijk wel gewoon geïmplementeerd door iemand die enigszins capabel is. Dat risico is een conceptuele afweging, niet simpelweg broddelwerk.

Bij dit soort hardware-bakkers zie je gewoon dat ze geen zin hebben om enige moeite te steken in alles wat de gebruiker toch niet merkt, zoals beveiliging. De snelste hack om iets voor elkaar te krijgen wordt gekozen.

Gigabyte mag bij deze op het zelfde lijstje als Lenovo. Leuk dat ze goedkope producten aanbieden, maar toch gewoon liever niet.

indigo79 @FreezeXJ • 1 juni 2023 14:20

Je moet de leverancier van je operating system en alle software die niet in een sandbox draait altijd kunnen vertrouwen. Als je die niet vertrouwt, kan je helemaal niets.
Verder is een TPM absoluut niet te vergelijken met bijvoorbeeld Intel vPro. Microsoft eist tegenwoordig een TPM, maar met bijvoorbeeld Linux kan je perfect kiezen om die niet te gebruiken en die communiceert niet met de fabrikant. Het hele idee van een TPM is juist dat (een deel van) je keys de chip sowieso nooit kunnen verlaten.

youridv1 @Frame164 • 31 mei 2023 21:27

dus maken we de hele pc default zo lek als een mandje?

GekkeRipper @beany • 31 mei 2023 21:43

Mijn Dell laptop krijgt z'n UEFI updates gewoon via Windows Update binnen. Dat is handig voor de digibeet en veilig. Waarom doet Gigabyte dit niet, als ze zo graag automatische updates aan willen bieden?

CriticalHit_NL @GekkeRipper • 1 juni 2023 12:47

Verschil is dat Dell voornamelijk voorgebouwde OEM producten zijn met een vaste configuratie, dan is het risico dat updates iets vernielen een heel stuk kleiner.

Voor de zelfbouw is dat risico natuurlijk een stuk groter en BIOS/UEFI updates horen eigenlijk helemaal geen routineklus te zijn maar goed afgebakend te zijn tegen de buitenkant, en dat is het grootste probleem.

Ook overclocks en undervolts kunnen verhoogd risico vormen dat bios updates mislukken en dan heb je gewoon een kapot systeem, dat risico wil je niet lopen, laat staan bij stroomverlies.

Mijn inziens moet dit gestuntel eens gestopt worden, en lever bij ieder moederbord een USB (denk aan een Yubikey achtig iets) of unieke ID die niet te generen valt op welke manier dan ook door derde partijen die gebonden is aan het moederbord die als autorisatie dient voor het kunnen updaten van de firmware, zo niet dan zal de firmware update en wijzigingen altijd genegeerd worden.

GekkeRipper @CriticalHit_NL • 1 juni 2023 12:51

Ik snap je punt. Maar mijn punt is anders. Gigabyte verzint zelf een gebrekkig update systeem terwijl Windows update ook beschikbaar is en dit bewezen veilig is.

CriticalHit_NL @GekkeRipper • 1 juni 2023 13:25

Bewezen veilig is een groot woord, het is gewoon hetzelfde beestje op een ander niveau dat remote je updates voert. In het verleden is Windows Update meermaals misbruikt om malware ongedetecteerd te installeren op machines.

Enkele voorbeelden:
https://thehackernews.com...ndows-update-malware.html
https://www.techradar.com...o-infect-pcs-with-malware

Ben het er verder mee eens dat update mechanismes zoals dit gewoon niet thuishoren op de chips van de hardware zelf, dat dient zeer strikt beveiligd te zijn.

Korvaag

31 mei 2023 20:32

Dit lijkt op de Asus Amory Crate onzin. Nou is daar (naar mijn weten) nog geen lek in ontdekt maar hoe komen moederbordfabrikanten er toch bij dat dit soort dingen een goed idee zijn.

Het volgende drama wordt/is Pluton. Ook weer zo'n black-box ding waarmee je controle weggeeft.

Wildfire

@Korvaag • 31 mei 2023 22:04

Dit lijkt op de Asus Amory Crate onzin.

Ja dat doet exact hetzelfde. Het ergste is ook nog, elke keer als je zelf een BIOS update uitvoert wordt die functie weer gewoon vrolijk aangezet en moet je dus niet vergeten die optie weer uit te zetten.

andru123 @Wildfire • 31 mei 2023 23:56

Dat wist ik niet, ga opletten.
Hoe belangrijk het is eigenlijk om elke dag een nieuwe Bios uploaden? What kind of trickery is that?

Wildfire

@andru123 • 1 juni 2023 00:20

Sowieso zijn er geen dagelijke BIOS updates, zitten vaak meerdere maanden tussen. Daarnaast geldt natuurlijk ook nog, "if it ain't broke, don't fix it".

CH4OS @Wildfire • 1 juni 2023 00:27

Daarnaast geldt natuurlijk ook nog, "if it ain't broke, don't fix it".

Volgens mij is dit artikel juist om aan te geven dat iets wel stuk is?

[Reactie gewijzigd door CH4OS op 24 juli 2024 00:18]

Wildfire

@CH4OS • 1 juni 2023 00:29

Ja in dit geval wel. En ook het geval van AM5 en doorbranden door te hoge spanning.

Maar normaliter, beter geen BIOS updaten als het niet specifiek een fix bevat voor een probleem wat je daadwerkelijk hebt of wil voorkomen.

CH4OS @Wildfire • 1 juni 2023 00:46

Mwa, tegenwoordig gaat dat prima. De kans dat het omvalt of stuk gaat is minimaal. Ook al heb je nu geen issues, kun je nog wel slachtoffer worden hiervan, dus om veiligheidsredenen wil je ook gewoon (kunnen) updaten, ook al heb je nergens last van.

jozuf @Wildfire • 1 juni 2023 07:53

Ben het zelf niet zozeer eens met dit advies met alle beveiligingsproblemen in Cpus en biossen de laatste tijd.
Ik update altijd mijn biossen en heb nog nooit wat gebricked.

latka @Wildfire • 31 mei 2023 23:40

Ik heb het opgelost door gewoon geen windows te draaien ;-) Linux negeert dit soort UEFI onzin gewoon. Als Windows echt moet, dan kan dat in een VM met een soft-bios (seabios) oid.

caipirinha @latka • 1 juni 2023 08:30

Doe ik ook, ik draai windows 7 en 10 in virtualbox. Geef windows 2 processsor cores en 16 GB geheugen en het draait zelfs sneller dan op de normale manier. Goed genoeg voor dat beetje legacy en kantoorspul wat ik nog in windows moet draaien. Bios updates doe ik alleen als het echt een probleem oplost en dat is bijna nooit.

batjes @latka • 1 juni 2023 11:22

Dit kan op Linux ook prima, dat een BIOS/UEFI/Firmware gewoon een process mee geeft tijdens de boot of gewoon tijdens het draaien van het OS. Dit is geen OS-specifieke feature. De OS is niet de baas, dat is nog altijd de hardware. (Deels waarom MS die TPM chip verplicht heeft, zo komt MS een stapje dichterbij totale controle over de hardware)

latka @batjes • 1 juni 2023 14:07

Bijna. De UEFI zet een PE executable klaar en windows voert die uit. Je hebt gelijk dat de UEFI voor het OS uitloopt en een corrupte UEFI of een UEFI met malware meer schade kan toebrengen. Maar het probleem hier (en dit is al vaker voorgekomen bij andere fabrikanten) is dus een door UEFI klaargezet blobje data wat je OS uitvoert. Als je bijv. disk-encryptie gebruikt op OS niveau dan kan een rotte UEFI of een UEFI met malware niet zoveel kunnen behalve als je Windows draait en WIndows na het unlocken van het volume toegang geeft tot de data aan dit malafide proces.
Hoe hard UEFI/hardware het ook probeert: een blobje data injecteren tijdens de boot is vereist toch echt medewerking van het OS.

bartje 31 mei 2023 20:32

ik hoop niet dat het de moderne manier is om updates direct vanuit de bios te downloaden. en als wel dan niet automatisch.
ben er de laatste tijd wat weinig mee bezig. maar dit lijkt me een recept voor rampen.
Je moet namlijk je certificate authorities up to date houden anders kan het nooit secure, dit is Gigabyte dan ook niet helemaal gelukt begriijp ik.

maar het lijkt me niet wenselijk.

Verwijderd @bartje • 31 mei 2023 21:45

Je kan prima een certificaat van 100 jaar uitgeven. Waarom zou dat niet secure kunnen. Ik wil dat ding wellicht los koppelen van internet. Dat moet gewoon kunnen lijkt me. Stel het is oorlog en je hebt geen internet voor 5 jaar. Wat dan?

FreezeXJ @Verwijderd • 31 mei 2023 22:46

Dan koop je toch lekker een nieuwe? Jouw probleem, niet dat van de fabrikant.

MneoreJ 31 mei 2023 20:37

This Windows executable is embedded into UEFI firmware and written to disk by firmware as part of the system boot process, a technique commonly used by UEFI implants and backdoors. During the Driver Execution Environment (DXE) phase of the UEFI firmware boot process, the “WpbtDxe.efi” firmware module uses the above GUID to load the embedded Windows executable file into memory, installing it into a WPBT ACPI table which will later be loaded and executed by the Windows Session Manager Subsystem (smss.exe) upon Windows startup.

Vroeger had je laagjes -- de BIOS zat onderaan, je OS draaide daar weer bovenop, en die dingen stonden los van elkaar. Tegenwoordig is je BIOS niet alleen zelf een OS, maar ziet men er ook nog eens geen been in om alvast wat executable code in je eigenlijke OS startup te gaan zitten injecten. Let wel, dit is dus geen beschrijving van daadwerkelijke malware, dit is wat de fabrikant er zelf van maakt! Dat het te hijacken is is een tweede, ik vind het feit dat men dit überhaupt op de achtergrond doet nog veel enger. Daar sta je als eindgebruiker dan met je goede gedrag -- het maakt niet uit of je je Windows netjes up to date houdt, de biosbakker injecteert wel even wat kwetsbaarheden.

FreezeXJ @MneoreJ • 31 mei 2023 22:48

Het verschil tussen 'handige oplossing' en malware is of je er vooraf of achteraf voor betaalt...

batjes @MneoreJ • 1 juni 2023 11:30

Dat kon een BIOS vroeger ook.

Die laagjes zijn nog steeds hetzelfde, de BIOS, Firmware, UEFI, whatever je het noemen wilt, draait onderop, daarboven draait het OS. De basis setup van een PC is nauwelijks veranderd sinds introductie. De BIOS blijft eindredacteur over je computer en bepaald in principe hoe het spelletje werkt, die kan altijd payloads meegeven aan de onderliggende software. Het verschil tussen oude BIOS en UEFI is vooral meer standaardisatie.

Dit is juist waarom het voor Microsoft heel belangrijk is dat al hun systemen tegenwoordig een TPM chip hebben.

[Reactie gewijzigd door batjes op 24 juli 2024 00:18]

MneoreJ @batjes • 1 juni 2023 12:17

Dit kon een BIOS vroeger "in principe", maar het was wel een stuk lastiger -- zo'n mooie opstarthook als de nieuwe UEFI biedt om gewoon een Windows app te starten zat er niet in, en dan is het een stuk lastiger om in die laag iets te doen met het OS op het hogere niveau, even aangenomen dat die motivatie er überhaupt was. Je kon als BIOS bijvoorbeeld al niet zeker zijn dat er netwerkhardware was of dat je die kon aanspreken, noch kon je "even" de interrupt voor HD access verfraaien om dan "even" een andere file te lezen, bijvoorbeeld -- het kan wel, maar zulke moeite zou je echt eerder alleen van een malwareproducent verwachten. Die extra standaardisatie is juist wat dit soort fratsen mogelijk maakt en hier en daar zelfs aanmoedigt.

batjes @MneoreJ • 2 juni 2023 09:57

De standaardisatie maakt het inderdaad allemaal wel makkelijker om uit te buiten. Maar het zijn geen nieuwe aanvalsvectoren.

kid1988 31 mei 2023 20:56

Ik snap dat dit een risico is, maar is iedere app om een firmware te updaten welke zelf iets download niet gewoon kwetsbaar voor een man in the middle attack?

Wellicht kwalijk dat het standaard ingeschakeld is, maar is er op een systeem welke nog niet compromised is een risico dat het 'automatisch' ingeschakeld word?

MneoreJ @kid1988 • 31 mei 2023 21:10

Het is nu net niet zo dat "iedere app" op die manier kwetsbaar is omdat TLS beschermt tegen een MITM -- als je het goed doet, heet dat (inclusief zelf valideren van de hele chain, en los daarvan een signed binary gebruiken, wat me bij firmware geen overbodige luxe lijkt). Daarnaast heb je bij een app die je zelf expliciet draait in ieder geval nog een idee van wat er aan het gebeuren is en dat er dingen gedownload worden en kun je het eventueel inspecteren en sandboxen. De BIOS spullerij gaat volautomatisch bij het opstarten aan de slag.

Dat het niet automatisch aan staat bij het uitleveren van het moederbord is inderdaad het enige geluk bij het ongeluk -- Gigabyte had er volgens mij op zich ook gewoon voor kunnen kiezen om dit standaard wel aan te zetten, of aan te zetten bij de eerstvolgende UEFI update, al was het dan misschien sneller opgevallen dat het proces lek is. Als je pech hebt kun je je PC bij een OEM hebben laten bouwen die dit wel een flexe optie vond.

[Reactie gewijzigd door MneoreJ op 24 juli 2024 00:18]

BruT@LysT 1 juni 2023 11:08

Wat apart dat de hele x570S reeks deze feature heeft maar de non-S reeks (X570 Aorus Elite welke ik bezit) nou juist weer niet. Enig idee waarom dit zo is? Ik kan me ook niet heugen ooit meldingen over de APP center gezien te hebben en/of optie in de BIOS. Gelukkig staat mijn Z390 Aorus Pro er ook niet tussen. Heb ik even geluk

Soeski @BruT@LysT • 1 juni 2023 13:27

Same here, ik dacht ook "huh, App Center via BIOS installatie?" - tot ik het minieme verschil zag in het typenummer X570S-AORUS-MASTER-10. Wij zijn alweer Legacy joh

NLxDoDge 1 juni 2023 11:18

Misschien kan iemand mij dit ook uitleggen.

Ik heb zelf de https://tweakers.net/pric...e-b550i-aorus-pro-ax.html

En in de lijst zie ik dit staan:

B550I-AORUS-PRO-AX-rev-10
B550I-AORUS-PRO-AX-rev-11
B550I-AORUS-PRO-AX-rev-12

is rev-10 rev 1? Of hebben ze dit moederbord nou echt 12 keer een nieuwe revisie van uitgebracht? Dat lijkt me niet...

Kleine update op de BIOS download pagina zie ik alleen 1.0, 1.X en 1.1. Wordt er niet echt duidelijk op zo...

[Reactie gewijzigd door NLxDoDge op 24 juli 2024 00:18]

rmulder @NLxDoDge • 1 juni 2023 12:01

Denk dat je 10 moet lezen als 1.0 enz.

Verwijderd @NLxDoDge • 2 juni 2023 05:25

Dit moederbord heeft revisies 1.0, 1.1, 1.2, en 1.3. Ik veronderstel dat "1.x" staat voor "1.2 of 1.3", en dat op de lijst van het artikel "10" staat voor "1.0" (enz).

Zelf heb ik revisie 1.2 (met bios afgelopen januari bijgewerkt), maar de gewraakte "APP Center Download & Install" optie is prominent afwezig in de bios.

Het staat ook niet terug te vinden in de handleiding, dus ik vermoedt dat de lijst eerder (semi) automatisch gegenereerd is dan dat er daadwerkelijk voor ieder model op de lijst bevestigd is dat het de kwetsbaarheid heeft.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 00:18]

SkyStreaker 31 mei 2023 20:25

Gebruikersgemak lijkt de laatste tijd nogal inherent een "Zwiterse kaas" in beveiliging-aspecten te zijn.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (116)

Sorteer op:

Weergave: