Majitelia počítačov so základnými doskami od spoločnosti Gigabyte by mali spozornieť.
Bezpečnostní experti vydali závažné varovanie týkajúce sa viac ako 240 modelov dosiek, ktoré obsahujú kritické zraniteľnosti vo svojom firmvéri. Tieto chyby môžu útočníkom umožniť nainštalovať hlboko skrytý a prakticky neodhaliteľný malvér, ktorý prežije aj preinštalovanie operačného systému. Situáciu navyše komplikuje fakt, že takmer polovica z dotknutých produktov už nie je výrobcom podporovaná. O čo presne ide? Hrozba pod úrovňou operačného systému.
Výskumníci z bezpečnostnej firmy Binarly a z Univerzity Carnegie Mellon odhalili štyri kritické zraniteľnosti vo firmvéri UEFI. Ide o nízkoúrovňový softvér, ktorý je zodpovedný za inicializáciu hardvéru počas procesu spúšťania počítača, ešte predtým, ako sa vôbec začne načítavať Windows alebo iný operačný systém. Chyby sa týkajú viac ako 240 modelov základných dosiek Gigabyte určených pre desktopové procesory Intel od 8. až po 11. generáciu, ktoré boli vydané v rokoch 2017 až 2021.
Zraniteľnosti sa nachádzajú v Systémovom manažérskom móde (SMM), čo je najprivilegovanejšie a najviac chránené prostredie procesora. SMM je zodpovedný za nízkoúrovňové úlohy a spolieha sa na chránenú pamäťovú oblasť, ktorá má byť neprístupná pre akýkoľvek neautorizovaný kód. Avšak, kvôli implementačným chybám vo firmvéri od Gigabyte môžu útočníci, ktorí získajú v systéme zvýšené oprávnenia (či už lokálnym prístupom alebo vzdialeným exploitom), tento ochranný mechanizmus obísť, kompromitovať SMM a v konečnom dôsledku získať úplnú kontrolu nad celým systémom.
Dôsledky úspešného útoku: Perzistentný a neviditeľný malvér. Akonáhle útočník získa takúto hlbokú kontrolu, môže do firmvéru nainštalovať perzistentný malvér. To znamená, že škodlivý kód zostane v systéme aktívny aj po kompletnom preinštalovaní operačného systému, keďže je uložený priamo v čipe na základnej doske, nie na pevnom disku. Táto úroveň prístupu tiež útočníkom umožňuje deaktivovať kľúčové bezpečnostné funkcie, ako sú Secure Boot a Intel Boot Guard.
Tým si otvárajú dvere pre nasadenie pokročilých hrozieb, ako sú bootkity a firmvérové rootkity. Tieto typy malvéru dokážu udržať dlhodobú a skrytú kontrolu nad zariadením, pričom sa úspešne vyhýbajú drvivej väčšine konvenčných bezpečnostných a antivírusových nástrojov. Kde sa stala chyba? Zlyhanie integrácie opráv. Príbeh týchto zraniteľností je obzvlášť znepokojivý.
Spoločnosť American Megatrends (AMI), ktorá je dodávateľom kódu pre UEFI firmvér mnohých výrobcov vrátane Gigabyte, už v minulosti dodala opravy na tieto konkrétne chyby. Tieto opravy však boli distribuované neverejne, priamo výrobcom hardvéru. Problém nastal v tom, že spoločnosť Gigabyte tieto opravy od AMI v mnohých prípadoch neintegrovala správne do finálneho firmvéru, ktorý bol dodaný so základnými doskami pre spotrebiteľov.
V dôsledku toho sa tie isté, už známe a opravené chyby, znovu objavili v produktoch predávaných na trhu. Mnoho starších systémov tak zostáva zraniteľných aj po tom, čo boli tieto bezpečnostné problémy zverejnené. Reakcia Gigabyte a háčik pre majiteľov starších dosiek? V reakcii na zverejnenie vydal Gigabyte zoznam dotknutých produktov a začal uvoľňovať aktualizácie systému BIOS, pričom prvé záplaty sa objavili už v júni.
Tu však nastáva zásadná komplikácia: takmer polovica zraniteľných základných dosiek dosiahla stav „konca životnosti“ (End of Life – EOL), čo znamená, že pre ne výrobca už neposkytuje pravidelné aktualizácie ani technickú podporu. Pre tieto zariadenia Gigabyte iba odporúča kontaktovať „terénneho aplikačného inžiniera“ (Field Application Engineer), čo je zdroj typicky dostupný len pre veľkých firemných zákazníkov, nie pre bežných spotrebiteľov.
To necháva mnohých domácich používateľov a malé firmy bez praktického riešenia, okrem úplnej výmeny hardvéru. Gigabyte zdôraznil, že novšie platformy základných dosiek nie sú týmito konkrétnymi zraniteľnosťami ovplyvnené, pretože obsahujú vylepšené ochrany na úrovni firmvéru.
Používateľom so staršími, no stále podporovanými systémami, spoločnosť radí navštíviť jej webovú stránku podpory a skontrolovať dostupnosť aktualizácií firmvéru. Tí, ktorí majú nepodporované dosky, však v konečnom dôsledku čelia ťažkej voľbe: buď budú hľadať nákladnú technickú podporu, alebo budú musieť investovať do novšieho a bezpečnejšieho počítača.