[English]Besitzer eines Rechners mit einem Mainboard des Herstellers Gigabyte können nun die Firmware des Boards aktualisieren. Mit dem vom Hersteller bereitgestellten Update soll eine schwere Schwachstelle beseitigt werden. Die Schwachstelle, die in ca. 260 Mainboard-Modellen vorhanden ist, könnte Angreifern das Einspielen von Schadsoftware in das System ermöglicht.
Anzeige
Gigabyte Motherboards mit Backdoor
Ich hatte das Thema im Blog-Beitrag Sicherheits-, Ransomware- und Datenschutzvorfälle Mai 2023 mit erwähnt. Sicherheitsforscher des auf Firmware spezialisierten Cybersecurity-Unternehmens Eclypsium sind in der Firmware von Motherboards des taiwanesischen Herstellers Gigabyte auf einen versteckten Mechanismus gestoßen, der die Firmware bei jedem Neustart der Platine zu aktualisieren versucht. Betroffen sind um die 260 Mainboard-Modelle.
Firmware-Updates sind eigentlich ja nicht schlecht – aber heimlich und ohne Kontrolle des Nutzers schon problematisch. Noch problematischer wird es, dass dieser Update-Vorgang unsicher ist. Die Forscher entdeckten, dass der Update-Vorgang unsicher implementiert ist. Konkret ist es so, dass das Aktualisierungsprogramm aus dem Code der Firmware des Motherboards aufgerufen wird – Stichwort ist WPBT, eine Neuinstallation nützt nichts.
Dieses Programm, so Eclysium, lädt dann eine andere Software herunter und führt diese aus. Dadurch ließe sich der Mechanismus möglicherweise kapern und zur Installation von Malware anstelle des von Gigabyte vorgesehenen Programms verwenden. Der gesamte Ansatz der Firmware-Aktualisierung durch Gigabyte "stinkt gewaltig", Nutzer haben quasi keine Möglichkeit, das zu entdecken oder zu entfernen.
Damoklesschwert WPBT
Ich hatte es in obigem Beitrag nicht angesprochen – diese Sauereien sind möglich, weil die Hersteller WPBT als Mechanimus verwenden. Das Thema kommt hier im Blog mehrfach vor. Im 2015 hatte ich das Thema WPBT bereits im Blog-Beitrag Backdoor 'Windows Platform Binary Table' (WPBT) angesprochen. Damals ging es um die Lenovo Service Engine, die Mist machte, aber auch eine Windows Neuinstallation überlebt (siehe Blog-Beitrag Lenovo Service Engine (LSE) – Superfish reloaded II) – WPBT macht dies möglich.
Mit Windows 8 hat Microsoft die Basics gelegt, um ganz schöne Schweinereien auf Systemen zu treiben. Die Technik firmiert unter dem Namen 'Windows Platform Binary Table' (WPBT) und ist in diesem Word .docx-Dokument detailliert beschrieben (siehe auch den Blog-Beitrag Backdoor 'Windows Platform Binary Table' (WPBT).
Mit WPBT wird die Möglichkeit geschaffen, beim Booten bereits in der BIOS-Boot-Phase (UEFI fällt auch darunter), Code auszuführen, um Windows-Betriebssysteme zu manipulieren.
So können Treiber, Updater etc. in der Boot-Phase (aus den ACPI-Tabellen des BIOS) injiziert werden. Ursprüngliche Idee war, dass OEMs die Möglichkeit haben sollten, Updates – unabhängig davon, ob der Anwender ein Clean Install von Windows vorgenommen hat – vorzunehmen.
Viele Hersteller (Lenovo, HP, Dell, Gigabyte) nutzen WPBT, um eigene Schweinereien auf den Systemen zu treiben. Der Ansatz fällt den Leuten aber regelmäßig auf die Füße und es wird eine Sicherheitslücke aufgerissen. Dies ist in obigem Gigabyte-Fall ebenfalls aufgetreten.
Anzeige
Update soll Schwachstelle schließen
Bei den Kollegen von Bleeping Computer habe ich gesehen, dass Gigabyte zum 1. Juni 2023 auf die oben erwähnte Schwachstelle mit einem Firmware-Update reagiert hat. In dieser Pressemitteilung heißt es, dass nun strengere Sicherheitsprüfungen während des Bootvorgangs des Betriebssystems implementiert worden seien.
Dazu hat GIGABYTE einen Überprüfungsprozess für Dateien, die von Remote-Servern heruntergeladen werden, so verbessert, dass die Integrität und Legitimität des Inhalts sichergestellt wird. Dadurch hofft der Hersteller, alle Versuche von Angreifern, bösartigen Code einzufügen, zu vereiteln. Weiterhin wird nun standardmäßige eine kryptografische Überprüfung von Remote-Server-Zertifikaten durchgeführt. Dies soll garantieren, dass Dateien ausschließlich von Servern mit gültigen und vertrauenswürdigen Zertifikaten heruntergeladen werden. Die Updates sollten auf der offiziellen GIGABYTE-Website für BIOS-Updates zu finden sein.
2015
Bei Gigabyte weiß ich oft nicht, welche BIOS-Version für ein Motherboard/CPU empfohlen wird, also folge ich den eindeutigen Informationen, und die sind in einem konkreten Fall von August 2021. Entweder ist die Datenbank noch nicht aktualisiert oder die Kommunikation schlecht.
Gagabyte war noch nie gut in der Firmware-Pflege. Schon damals, als die S-ATA-Laufwerke rauskamen (und Jahre danach) haben sie unendlich lange auf uralte AHCI-Treiber im BIOS gesetzt, die wiederum Probleme mit neueren S-ATA-Laufwerken, später auch SSDs, hatten.
Sowas merkt man sich… und wie man sieht, sind es bis heute Pfuscher.
Btw., was vielleicht auch ein Thema wäre: MSI hat mit den aktuellsten BIOS-Updates eine ziemlich miese Funktion implementiert: Wenn diese im BIOS/UEFI aktiviert wird, wird ein neues Gerät im Gerätemanager angezeigt.
Dieses Ding startet vollautomatisch eine ausführbare Datei, welche wiederum Treiber UND Bloatware auf seinen Eigenbau-Rechner zieht.
Also Augen auf beim Eierkauf!