Gigabyte verteilt Updates: Schwachstelle macht 271 Mainboard-Modelle angreifbar
Hunderte Mainboard-Modelle von Gigabyte weisen derzeit eine Schwachstelle auf, die betroffene Systeme besonders anfällig für Infektionen mit einer Schadsoftware macht. Grund dafür ist ein fragwürdig umgesetzter und leicht kompromittierbarer Update-Prozess der UEFI-Firmware.
Unsicherer Update-Prozess gefährdet zahlreiche Gigabyte-Systeme
Wie Sicherheitsforscher von Eclypsium herausfanden, schreibt die Firmware nach dem Einschalten betroffener Rechner zunächst eine ausführbare Windows-Binärdatei auf die Festplatte. Einzige Voraussetzung dafür ist, dass im BIOS die Option „APP Center Download & Install“ aktiviert ist, die standardmäßig aktiviert sein sollte – festschreiben wollten sich die Forscher in diesem Punkt aber nicht. Unmittelbar nach dem Bootvorgang führt das Betriebssystem die Binärdatei aus und legt eine darin enthaltene ausführbare Datei namens GigabyteUpdateService.exe
im Systemverzeichnis %SystemRoot%\system32\
ab. Anschließend wird diese als Windows-Dienst registriert und ausgeführt.
Das Hauptproblem liegt nun bei den drei möglichen Quellen, aus denen der erstellte Update-Dienst im Anschluss seine Nutzlast bezieht und ausführt. Denn diese bergen erhebliche Sicherheitsrisiken.
http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
https://software-nas/Swhttp/LiveUpdate4
Die erste URL lädt die Daten über einfaches HTTP herunter. Sie setzt also auf eine unverschlüsselte Kommunikation, die sich leicht durch MITM-Angriffe kompromittieren lässt. Doch selbst bei der zweiten und vermeintlich sichereren HTTPS-Variante ist den Forschern zufolge die Validierung der Server-Zertifikate nicht korrekt implementiert, was diese ebenfalls anfällig für Angriffe macht. Die dritte Download-URL basiert nicht mal auf einem Fully Qualified Domain Name (FQDN), sondern auf einem einfachen Rechnernamen, der sich in einem lokalen Netzwerk befinden kann. Für einen Angreifer, der bereits ein anderes System im gleichen Subnetz infiltriert hat, wäre es ein Leichtes, unter dem Hostnamen software-nas
eine bösartige Anwendung bereitzustellen, die ein betroffenes Gigabyte-System dann bereitwillig abruft und ausführt.
271 Mainboard-Modelle sind betroffen
Die Eclypsium-Forscher haben insgesamt 271 Mainboard-Modelle von Gigabyte identifiziert, die potentiell von der Schwachstelle betroffen sind. Darunter beispielsweise auch aktuelle Z790-Mainboards für Intels CPU-Plattform Raptor Lake.
Wer prüfen will, ob sein eigenes System betroffen ist, kann zum Beispiel über die Windows-Suche die „Systeminformationen“ öffnen und das unter Systemübersicht > BaseBoard-Produkt
angeführte Mainboard-Modell mit der Liste der angreifbaren Boards abgleichen.
Erste BIOS-Updates sind verfügbar
Allem Anschein nach hat Gigabyte bereits mit dem Verteilen erster BIOS-Updates begonnen, wie beispielsweise ComputerBase-Leser Postman festgestellt hat. So existiert für das Gigabyte Z790 Aorus Master (rev. 1.0) seit dem 31. Mai 2023 ein Update auf Version F8d, das als einzige Neuerung einen Fix gegen die Sicherheitslücke nennt: „Addresses Download Assistant Vulnerabilities Reported by Eclypsium Research“.
Gegenmaßnahmen auch ohne BIOS-Update
Anwender, die betroffen sind, aber noch kein Update aufspielen können oder wollen, können die Sicherheitslücke auch auf anderem Wege unschädlich machen: Betroffene Anwender sollten die Option „APP Center Download & Install“ in ihrem UEFI-BIOS deaktivieren und die Einstellung durch ein sicheres BIOS-Passwort schützen. Darüber hinaus kann auch das Sperren der drei oben genannten Download-URLs eine sinnvolle Schutzmaßnahme sein.