技嘉曝“类后门”安全漏洞,影响约 700 万台设备

安全
Eclypsium 网络安全研究员发现技嘉售出的 271 款近 700 万片主板中存在”类似后门“的安全漏洞。

The Hacker News 网站披露, Eclypsium 网络安全研究员发现技嘉售出的 271 款近 700 万片主板中存在”类似后门“的安全漏洞。设备的 UEFI 固件中“潜伏”一个 Windows 可执行文件,并以不安全的格式检索更新,以此触发隐藏的更新程序。Eclypsium 指出潜在攻击者可以利用这种机制,在用户不知情的情况下安装恶意程序,且后续难以检测和删除。

Eclypsium 声称其在 2023 年 4 月首次检测到该异常现象,之后便通知技嘉,该公司承认并解决了这个问题。

Eclypsium 公司战略高级副总裁 John Loucaides 在与 The Hacker News分享中表示 ,大多数技嘉固件包括一个嵌入 UEFI 固件的 Windows 原生二进制可执行文件,研究人员检测到的 Windows  可执行文件被放到磁盘上,并作为 Windows 启动过程的一部分执行,类似于 LoJack 双重代理攻击,该可执行文件通过不安全的方法下载并运行其它二进制文件。

值得一提的是,根据 Eclypsium 的说法,Windows  可执行文件被嵌入 UEFI 固件中,并作为系统启动过程的一部分由固件写入磁盘,随后作为更新服务启动。就其本身而言,基于.NET 的应用程序则被配置为通过普通的 HTTP从技嘉更新服务器下载和执行有效载荷,从而使进程暴露于通过受损路由器进行的中间人(AitM)攻击。

Loucaides 补充说,该软件似乎是作为一个合法的更新应用程序,可能影响 "大约 364 个技嘉系统,粗略估计有 700 万台设备。

随着威胁攻击者不断寻找到不被发现或留下最小入侵痕迹的方法,特权固件更新机制中的漏洞可能为隐蔽的 UEFI 引导程序和“植入物”铺平道路,这些程序可以颠覆操作系统中运行的所有安全控制。

更糟糕的是,由于 UEFI 代码位于主板上,即使擦除驱动器并重新安装操作系统,注入固件的恶意软件也可能持续存在。因此, 建议用尽快应用最新的固件更新,以最大限度地降低潜在的安全风险。此外,用户还需立刻检查并禁用 UEFI/BIOS 设置中的“APP Center 下载和安装 ”这一功能,并设置 BIOS 密码以阻止恶意更改。

文章来源:https://thehackernews.com/2023/05/critical-firmware-vulnerability-in.html

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2015-03-13 09:57:11

Xen安全漏洞云服务AWS

2015-01-27 17:40:05

2023-04-03 06:44:24

2009-02-19 17:36:13

Windows MobMy Phone

2014-04-29 11:18:27

2019-02-21 10:11:49

2022-08-21 15:52:12

安全苹果漏洞

2022-05-05 11:33:10

漏洞网络攻击网络安全

2014-09-26 09:02:49

2009-02-19 17:00:52

My PhoneWindows Mob安全漏洞

2023-07-04 18:39:37

2014-09-26 09:11:18

2020-06-29 08:14:21

漏洞安全IT

2014-12-24 12:34:48

2023-07-29 11:15:47

2013-01-14 12:15:51

2009-02-03 09:01:40

2015-08-26 10:14:29

2023-08-14 19:51:43

2023-07-29 13:19:52

点赞
收藏

51CTO技术栈公众号