Wieder einmal haben Sicherheitsexperten eine potenziell gefährliche, weil hanebüchen umgesetzte (Update-)Funktion in einem UEFI-BIOS entdeckt. Laut der Firma Eclypsium sind davon 270 Mainboards der Marke Gigabyte für AMD- und Intel-Prozessoren betroffen. Ob die Sicherheitslücke derzeit aktiv ausgenutzt wird, schreibt Eclypsium nicht. Die Fachleute raten Administratoren aber dazu, den Zugriff betroffener Systeme auf bestimmte Gigabyte-Webserver zu sperren.
Ausführbare Windows-Datei im BIOS
Ein Blog-Eintrag von Eclypsium beschreibt die relativ leicht angreifbare Update-Funktion. Dazu gehört die unter Windows ausführbare .NET-Anwendung GigabyteUpdateService.exe, die im UEFI-BIOS-Image enthalten ist. Diese Datei trägt die Firmware in die ACPI-Tabelle Windows Platform Binary Table (WPBT) ein.
Virustotal.com zeigt das Windows-Executable GigabyteUpdateService.exe im BIOS-Image B55GXV23.FB des Gigabyte B550M Gaming-X V2 an.
Nach der Installation des Betriebssystems liest das Windows Session Manager Subsystem (smss.exe) die ACPI WPBT und kopiert die Datei GigabyteUpdateService.exe über eine Windows-API auf den Systemdatenträger nach %SystemRoot%\system32\.
Außerdem legt das System in der Registry Einträge für einen Windows-Systemdienst ein und startet diesen.
Dieses Konzept ähnelt laut Eclypsium den Funktionen, die auch Firmware-Angriffe wie LoJax, MosaicRegressor, Vector-EDK und MoonBounce missbrauchten.
Code-Nachlader
Liste der 270 betroffenen Gigabyte-Mainboads laut Eclypsium
Die relevante Sicherheitslücke reißt GigabyteUpdateService.exe dann unter Windows auf, denn der Dienst lädt automatisch Dateien von einer der drei folgenden URLs nach und führt sie aus:
- http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://software-nas/Swhttp/LiveUpdate4
Besonders gefährlich ist die erste Adresse, weil der Download nicht einmal per https geschützt ist und sich daher sehr leicht missbrauchen lässt, etwa durch Man-in-the-Middle-(MITM-)Angriffe.
Die Update-Funktion prüft laut Eclypsium die heruntergeladenen Dateien auch nicht auf Authentizität.
Schlecht gemacht
Eclypsium bezeichnet Gigabytes Update-Dienst als „UEFI-Backdoor“ und erläutert noch weitere Risiken. So wurde Gigabyte vor zwei Jahren Opfer zweier Ransomware-Angriffe, bei dem auch interne Daten erbeutet wurden. Diese könnten Angreifer für Manipulationen missbrauchen.
Im UEFI-BIOS von Mainboards von Asus und Gigabyte wurde vor einigen Jahren bereits die Malware CosmicStrand entdeckt. 2018 wurden in Windows-Tools für Gigabyte-Boards mehrere Schwachstellen entdeckt, etwa in Software zum Übertakten.
Auf der Security-Website von Gigabyte sind bisher keine Hinweise zu den neuen Sicherheitslücken zu finden.
Vor wenigen Monaten wurde auch der taiwanische Mainboard- und Hardware-Hersteller MSI Opfer eines Ransomware-Angriffs, bei dem ebenfalls Daten gestohlen wurden – darunter auch Signaturschlüssel für BIOS-Code.
(ciw)
