漏洞分享 - 逾200款技嘉產品有類似後門程式下載活動
逾200款技嘉產品有類似後門程式下載活動
一、摘要
安全廠商Eclypsium最近透過啟發式偵測法,在技嘉產品App Center功能偵測到疑似後門程式的行為,技嘉產品在用戶電腦的Windows啟動過程中,植入一個二進位程式,而後這個二進位程式以較不安全的HTTP連線,從技嘉伺服器下載其他程式。
二、存在風險
研究人員並非指技嘉電腦產品用戶已經被植入惡意程式,而是指技嘉電腦軟體更新的這個過程【可能被用以下載惡意程式】。
第一個部分:下載的二進位檔.NET應用程式會由韌體寫入系統開機行程。這是UEFI嵌入程式和後門程式常見的手法,見於之前UEFI韌體嵌入程式如Sednit LoJax、MosiacRegressor、MoonBounce及Vector-EDK。
第二部分:.NET應用程式以HTTP連線方式從技嘉數個網站的LiveUpdate路徑下載程式。研究人員指出,HTTP連線不應用於更新重要程式碼,因為可能被駭客以中間人攻擊(machine-in-the-middle,MITM),但即使是使用HTTPS連線,技嘉的遠端伺服器憑證的驗證也未能正確實作,也可能會發生MITM情形。
受影響產品:https://eclypsium.com/wp-content/uploads/Gigabyte-Affected-Models.pdf
建議改善措施:
- 關閉技嘉系統UEFI/BIOS設定中的「App Center下載和安裝」功能,並為BIOS設定密碼防止變更。
- 請維護廠商協助提供解決方案。
情資報告連結:https://www.ithome.com.tw/news/157146
