服务器之家:专注于服务器技术及软件下载分享
分类导航

云服务器|WEB服务器|FTP服务器|邮件服务器|虚拟主机|服务器安全|DNS服务器|服务器知识|Nginx|IIS|Tomcat|

服务器之家 - 服务器技术 - 服务器安全 - 技嘉曝“类后门”安全漏洞,影响约 700 万台设备

技嘉曝“类后门”安全漏洞,影响约 700 万台设备

2023-06-02 04:00未知服务器之家 服务器安全

The Hacker News 网站披露, Eclypsium 网络安全研究员发现技嘉售出的 271 款近 700 万片主板中存在”类似后门“的安全漏洞。设备的 UEFI 固件中“潜伏”一个 Windows 可执行文件,并以不安全的格式检索更新,以此触发隐藏的更新程序。

The Hacker News 网站披露, Eclypsium 网络安全研究员发现技嘉售出的 271 款近 700 万片主板中存在”类似后门“的安全漏洞。设备的 UEFI 固件中“潜伏”一个 Windows 可执行文件,并以不安全的格式检索更新,以此触发隐藏的更新程序。Eclypsium 指出潜在攻击者可以利用这种机制,在用户不知情的情况下安装恶意程序,且后续难以检测和删除。

Eclypsium 声称其在 2023 年 4 月首次检测到该异常现象,之后便通知技嘉,该公司承认并解决了这个问题。

技嘉曝“类后门”安全漏洞,影响约 700 万台设备

Eclypsium 公司战略高级副总裁 John Loucaides 在与 The Hacker News分享中表示 ,大多数技嘉固件包括一个嵌入 UEFI 固件的 Windows 原生二进制可执行文件,研究人员检测到的 Windows可执行文件被放到磁盘上,并作为 Windows 启动过程的一部分执行,类似于 LoJack 双重代理攻击,该可执行文件通过不安全的方法下载并运行其它二进制文件。

值得一提的是,根据 Eclypsium 的说法,Windows可执行文件被嵌入 UEFI 固件中,并作为系统启动过程的一部分由固件写入磁盘,随后作为更新服务启动。就其本身而言,基于.NET 的应用程序则被配置为通过普通的 HTTP从技嘉更新服务器下载和执行有效载荷,从而使进程暴露于通过受损路由器进行的中间人(AitM)攻击。

Loucaides 补充说,该软件似乎是作为一个合法的更新应用程序,可能影响 "大约 364 个技嘉系统,粗略估计有 700 万台设备。

随着威胁攻击者不断寻找到不被发现或留下最小入侵痕迹的方法,特权固件更新机制中的漏洞可能为隐蔽的 UEFI 引导程序和“植入物”铺平道路,这些程序可以颠覆操作系统中运行的所有安全控制。

更糟糕的是,由于 UEFI 代码位于主板上,即使擦除驱动器并重新安装操作系统,注入固件的恶意软件也可能持续存在。因此, 建议用尽快应用最新的固件更新,以最大限度地降低潜在的安全风险。此外,用户还需立刻检查并禁用 UEFI/BIOS 设置中的“APP Center 下载和安装 ”这一功能,并设置 BIOS 密码以阻止恶意更改。

文章来源:https://thehackernews.com/2023/05/critical-firmware-vulnerability-in.html

延伸 · 阅读

精彩推荐