售出数百万的技嘉主板带有固件后门

专注于固件的网络安全公司 Eclypsium 的研究人员今天透露，他们在台湾制造商技嘉出售的主板固件中发现了一种隐藏机制，其组件通常用于游戏 PC 和其他高性能 PC。 当装有受影响的技嘉主板的计算机重新启动时，Eclypsium 发现主板固件中的代码无形地启动了一个在计算机上运行的更新程序，然后下载并执行另一个更新程序。

虽然 Eclypsium 表示隐藏代码旨在成为一种无害的工具，使主板固件保持最新状态，但研究人员发现它的执行不安全，这可能导致该机制被劫持并用于安装恶意软件，而不是用于安装恶意软件技嘉软件。 由于更新程序是从操作系统之外的计算机固件运行的，因此用户很难将其删除甚至检测不到。

Eclypsium 的战略和研究负责人 John Lucidis 说。 “在最终用户的领导下工作并接管他们的设备的概念并不适合大多数人。”

在那里面 关于研究的博客文章Eclypsium 列出了 271 款典型的 GIGABYTE 主板，研究人员称这些主板受到影响。 Loucaides 补充说，想要了解计算机使用的主板的用户可以通过转到 Windows 开始然后转到系统信息来查看。

Eclypsium 表示，它在扫描客户计算机以查找基于固件的恶意代码时发现了技嘉的隐藏固件机制，这是一种越来越受老练黑客使用的流行工具。 例如，在 2018 年，代表俄罗斯 GRU 军事情报机构工作的黑客被发现在受害者的设备上悄悄安装基于 LoJack 固件的防盗软件，作为一种间谍策略。 两年后，中国政府资助的黑客被发现重新使用由黑客雇佣的黑客团队创建的基于固件的间谍工具，以瞄准非洲、亚洲和欧洲的外交官和非政府组织工作人员的计算机。 Eclypsium 研究人员惊讶地发现自动扫描揭示了技嘉的更新机制，以执行一些阴暗的行为，例如国家资助的黑客工具 – 隐藏在固件中并安装从 Internet 静默下载代码的软件。

光是技嘉更新程序就可能让那些不信任技嘉的用户使用几乎看不见的工具悄悄地在他们的设备上安装代码，或者担心技嘉的机制可能被黑客利用，这些黑客危害主板制造商以利用其隐藏的访问权限。软件供应链攻击。 但 Eclypsium 还发现，更新机制的实施存在明显的安全漏洞，可能会使其受到威胁：它会在没有正确验证的情况下将代码下载到用户的机器上，有时甚至通过不受保护的 HTTP 连接，而不是 HTTPS。 这将允许安装源被中间人攻击误导，任何人都可以拦截用户的 Internet 连接，例如流氓 Wi-Fi 网络。

在其他情况下，该机制安装的更新程序在技嘉的固件中配置为从本地网络附加存储 (NAS) 设备下载，这一功能似乎是为企业网络设计的，以便在所有机器都没有访问互联网的情况下管理更新。 但 Eclypsium 警告说，在这些情况下，同一网络上的恶意行为者可能会冒充 NAS 来无形地安装自己的恶意软件。

Eclypsium 表示正在与技嘉合作，向主板制造商披露其调查结果，技嘉表示计划解决这些问题。 技嘉没有回应《连线》杂志就 Eclypsium 结果发表评论的多次请求。

即使 Gigabyte 确实修复了自己的固件问题——毕竟，问题源于 Gigabyte 工具，旨在自动更新固件——Eclypsium 的 Loucaides 指出，在许多情况下，由于复杂性和固件和硬件匹配困难。 “我仍然认为这最终会成为未来几年技嘉主板上相当普遍的问题，”Loucaides 说。

以供应链为重点的网络安全初创公司 Crash Override 的首席安全官 Rich Smith 表示，考虑到数百万可能受到影响的设备，Eclypsium 的发现“令人震惊”。 Smith 发布了固件漏洞搜索并审查了 Eclypsium 的结果。 情况比较 2000 年代中期的索尼 Rootkit 丑闻。 索尼将 DRM 代码隐藏在以不可见方式安装在用户计算机上的 CD 上，从而产生了黑客用来隐藏其恶意软件的漏洞。 “你可以使用恶意行为者传统上使用的技术，但这是不可接受的，它太过分了，”史密斯说。 “我无法解释技嘉为什么选择这种方法来交付其软件。但对我来说，这感觉就像在固件领域跨越了一条类似的线。”

史密斯承认技嘉在隐藏的固件工具中可能没有恶意或欺骗性的意图。 但是，通过在隐藏在许多计算机操作系统之下的代码中留下漏洞，它们仍然会侵蚀用户对其硬件的基本信任度。 “这里没有任何意图，只有污垢。但我不希望任何人把我的固件写成脏东西，”史密斯说，“如果你不信任你的固件，你就是在沙子上盖房子。”