270 Gigabyte-Mainboards mit unsicherem Downloader im UEFI-BIOS

Sicherheitsforscher warnen vor einer unsicheren Update-Funktion in vielen aktuellen Mainboards der Marke Gigabyte, die unter Windows Software nachlädt.

In Pocket speichern vorlesen Druckansicht 47 Kommentare lesen
Mainboards der Firma Gigabyte

Mainboards der Firma Gigabyte

Lesezeit: 3 Min.
Inhaltsverzeichnis

Wieder einmal haben Sicherheitsexperten eine potenziell gefährliche, weil hanebüchen umgesetzte (Update-)Funktion in einem UEFI-BIOS entdeckt. Laut der Firma Eclypsium sind davon 270 Mainboards der Marke Gigabyte für AMD- und Intel-Prozessoren betroffen. Ob die Sicherheitslücke derzeit aktiv ausgenutzt wird, schreibt Eclypsium nicht. Die Fachleute raten Administratoren aber dazu, den Zugriff betroffener Systeme auf bestimmte Gigabyte-Webserver zu sperren.

Ein Blog-Eintrag von Eclypsium beschreibt die relativ leicht angreifbare Update-Funktion. Dazu gehört die unter Windows ausführbare .NET-Anwendung GigabyteUpdateService.exe, die im UEFI-BIOS-Image enthalten ist. Diese Datei trägt die Firmware in die ACPI-Tabelle Windows Platform Binary Table (WPBT) ein.

Virustotal.com zeigt das Windows-Executable GigabyteUpdateService.exe im BIOS-Image B55GXV23.FB des Gigabyte B550M Gaming-X V2 an.

Nach der Installation des Betriebssystems liest das Windows Session Manager Subsystem (smss.exe) die ACPI WPBT und kopiert die Datei GigabyteUpdateService.exe über eine Windows-API auf den Systemdatenträger nach %SystemRoot%\system32\.

Außerdem legt das System in der Registry Einträge für einen Windows-Systemdienst ein und startet diesen.

Dieses Konzept ähnelt laut Eclypsium den Funktionen, die auch Firmware-Angriffe wie LoJax, MosaicRegressor, Vector-EDK und MoonBounce missbrauchten.

Liste der 270 betroffenen Gigabyte-Mainboads laut Eclypsium

Die relevante Sicherheitslücke reißt GigabyteUpdateService.exe dann unter Windows auf, denn der Dienst lädt automatisch Dateien von einer der drei folgenden URLs nach und führt sie aus:

  • http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
  • https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
  • https://software-nas/Swhttp/LiveUpdate4

Besonders gefährlich ist die erste Adresse, weil der Download nicht einmal per https geschützt ist und sich daher sehr leicht missbrauchen lässt, etwa durch Man-in-the-Middle-(MITM-)Angriffe.

Die Update-Funktion prüft laut Eclypsium die heruntergeladenen Dateien auch nicht auf Authentizität.

Eclypsium bezeichnet Gigabytes Update-Dienst als "UEFI-Backdoor" und erläutert noch weitere Risiken. So wurde Gigabyte vor zwei Jahren Opfer zweier Ransomware-Angriffe, bei dem auch interne Daten erbeutet wurden. Diese könnten Angreifer für Manipulationen missbrauchen.

Im UEFI-BIOS von Mainboards von Asus und Gigabyte wurde vor einigen Jahren bereits die Malware CosmicStrand entdeckt. 2018 wurden in Windows-Tools für Gigabyte-Boards mehrere Schwachstellen entdeckt, etwa in Software zum Übertakten.

Auf der Security-Website von Gigabyte sind bisher keine Hinweise zu den neuen Sicherheitslücken zu finden.

Vor wenigen Monaten wurde auch der taiwanische Mainboard- und Hardware-Hersteller MSI Opfer eines Ransomware-Angriffs, bei dem ebenfalls Daten gestohlen wurden – darunter auch Signaturschlüssel für BIOS-Code.

(ciw)