Millionen von Gigabyte-Motherboards wurden mit einer Firmware-Hintertür verkauft

Dec 14, 2023

Andy Greenberg

Das Verstecken schädlicher Programme in der UEFI-Firmware eines Computers, dem tief verwurzelten Code, der einem PC sagt, wie er sein Betriebssystem laden soll, ist zu einem heimtückischen Trick im Werkzeugkasten heimlicher Hacker geworden. Aber wenn ein Motherboard-Hersteller seine eigene versteckte Hintertür in die Firmware von Millionen von Computern einbaut – und diesen versteckten Hintereingang nicht einmal richtig verriegelt – erledigt er praktisch Hackerarbeit für ihn.

Forscher des auf Firmware spezialisierten Cybersicherheitsunternehmens Eclypsium gaben heute bekannt, dass sie einen versteckten Mechanismus in der Firmware von Motherboards des taiwanesischen Herstellers Gigabyte entdeckt haben, dessen Komponenten häufig in Gaming-PCs und anderen Hochleistungscomputern verwendet werden. Immer wenn ein Computer mit dem betroffenen Gigabyte-Motherboard neu startet, startet Eclypsium heraus, dass Code in der Firmware des Motherboards unsichtbar ein Updater-Programm initiiert, das auf dem Computer ausgeführt wird und wiederum eine andere Software herunterlädt und ausführt.

Während Eclypsium sagt, dass der versteckte Code ein harmloses Werkzeug sein soll, um die Firmware des Motherboards auf dem neuesten Stand zu halten, stellten die Forscher fest, dass er unsicher implementiert ist, was es möglicherweise ermöglicht, den Mechanismus zu kapern und zur Installation von Malware anstelle des von Gigabyte vorgesehenen Programms zu verwenden. Und da das Updater-Programm von der Firmware des Computers außerhalb des Betriebssystems ausgelöst wird, ist es für Benutzer schwierig, es zu entfernen oder gar zu entdecken.

„Wenn Sie eine dieser Maschinen haben, müssen Sie sich darüber Sorgen machen, dass sie sich im Grunde etwas aus dem Internet schnappt und es ohne Ihr Zutun ausführt und nichts davon sicher erledigt hat“, sagt John Loucaides, der für die Strategie verantwortlich ist und Forschung bei Eclypsium. „Das Konzept, sich hinter den Endbenutzer zu stellen und dessen Maschine zu übernehmen, gefällt den meisten Menschen nicht.“

In seinem Blogbeitrag über die Forschung listet Eclypsium 271 Modelle von Gigabyte-Motherboards auf, von denen Forscher sagen, dass sie betroffen sind. Loucaides fügt hinzu, dass Benutzer, die sehen möchten, welches Motherboard ihr Computer verwendet, dies überprüfen können, indem sie in Windows auf „Start“ und dann auf „Systeminformationen“ gehen.

Eclypsium gab an, den versteckten Firmware-Mechanismus von Gigabyte gefunden zu haben, als es die Computer von Kunden nach Firmware-basiertem Schadcode durchsuchte, einem immer häufiger vorkommenden Tool, das von raffinierten Hackern eingesetzt wird. Im Jahr 2018 wurde beispielsweise festgestellt, dass Hacker, die im Auftrag des russischen Militärgeheimdienstes GRU arbeiteten, als Spionagetaktik stillschweigend die Firmware-basierte Anti-Diebstahl-Software LoJack auf den Computern der Opfer installierten. Zwei Jahre später wurden staatlich geförderte chinesische Hacker dabei gesichtet, wie sie ein Firmware-basiertes Spyware-Tool, das von der Hacker-Mietfirma Hacking Team entwickelt wurde, umfunktionierten, um die Computer von Diplomaten und NGO-Mitarbeitern in Afrika, Asien und Europa ins Visier zu nehmen. Die Forscher von Eclypsium waren überrascht, als ihre automatisierten Erkennungsscans den Updater-Mechanismus von Gigabyte für die gleichen zwielichtigen Verhaltensweisen wie diese staatlich geförderten Hacking-Tools aufspürten: Sie versteckten sich in der Firmware und installierten stillschweigend ein Programm, das Code aus dem Internet herunterlädt.

Lauren Goode

WIRED-Mitarbeiter

Brenda Stolyar

Will Knight

Allein der Updater von Gigabyte könnte Bedenken bei Benutzern hervorgerufen haben, die Gigabyte nicht vertrauen, dass er mit einem nahezu unsichtbaren Tool stillschweigend Code auf ihrem Computer installiert – oder die befürchten, dass der Mechanismus von Gigabyte von Hackern ausgenutzt werden könnte, die den Motherboard-Hersteller kompromittieren, um seinen versteckten Zugriff auszunutzen ein Software-Supply-Chain-Angriff. Eclypsium stellte jedoch auch fest, dass der Update-Mechanismus mit eklatanten Schwachstellen ausgestattet war, die eine Kaperung ermöglichen könnten: Er lädt Code auf den Computer des Benutzers herunter, ohne ihn ordnungsgemäß zu authentifizieren, manchmal sogar über eine ungeschützte HTTP-Verbindung statt HTTPS. Dies würde es ermöglichen, die Installationsquelle durch einen Man-in-the-Middle-Angriff zu fälschen, der von jedem ausgeführt wird, der die Internetverbindung des Benutzers abfangen kann, beispielsweise ein betrügerisches Wi-Fi-Netzwerk.

In anderen Fällen ist der Updater, der durch den Mechanismus in der Firmware von Gigabyte installiert wird, so konfiguriert, dass er von einem lokalen Netzwerkspeichergerät (NAS) heruntergeladen werden kann, eine Funktion, die offenbar für Unternehmensnetzwerke entwickelt wurde, um Updates zu verwalten, ohne dass alle ihre Maschinen darauf zugreifen in das Internet. Eclypsium warnt jedoch davor, dass in solchen Fällen ein böswilliger Akteur im selben Netzwerk den Standort des NAS fälschen könnte, um stattdessen unsichtbar seine eigene Malware zu installieren.

Eclypsium sagt, es habe mit Gigabyte zusammengearbeitet, um seine Ergebnisse dem Motherboard-Hersteller mitzuteilen, und Gigabyte habe angekündigt, die Probleme zu beheben. Gigabyte antwortete nicht auf die mehrfachen Anfragen von WIRED nach einem Kommentar zu den Ergebnissen von Eclypsium.

Auch wenn Gigabyte tatsächlich eine Lösung für sein Firmware-Problem herausbringt – schließlich ist das Problem auf ein Gigabyte-Tool zur Automatisierung von Firmware-Updates zurückzuführen –, weist Loucaides von Eclypsium darauf hin, dass Firmware-Updates auf den Computern der Benutzer oft stillschweigend abgebrochen werden, in vielen Fällen aufgrund von Komplexität und die Schwierigkeit, Firmware und Hardware aufeinander abzustimmen. „Ich denke immer noch, dass dies in den kommenden Jahren ein weit verbreitetes Problem auf Gigabyte-Mainboards sein wird“, sagt Loucaides.

Angesichts der Millionen potenziell betroffener Geräte sei die Entdeckung von Eclypsium „beunruhigend“, sagt Rich Smith, der Chief Security Officer des auf Lieferketten spezialisierten Cybersicherheits-Startups Crash Override. Smith hat Untersuchungen zu Firmware-Schwachstellen veröffentlicht und die Ergebnisse von Eclypsium überprüft. Er vergleicht die Situation mit dem Sony-Rootkit-Skandal Mitte der 2000er Jahre. Sony hatte auf CDs einen Digital-Rights-Management-Code versteckt, der sich unsichtbar auf den Computern der Benutzer installierte und so eine Schwachstelle schuf, die Hacker nutzten, um ihre Malware zu verbergen. „Man kann Techniken verwenden, die traditionell von böswilligen Akteuren verwendet werden, aber das war nicht akzeptabel, es hat die Grenze überschritten“, sagt Smith. „Ich kann nicht sagen, warum Gigabyte diese Methode zur Bereitstellung seiner Software gewählt hat. Aber für mich scheint es, als würde damit eine ähnliche Grenze im Firmware-Bereich überschritten.“

Smith räumt ein, dass Gigabyte mit seinem versteckten Firmware-Tool wahrscheinlich keine böswillige oder betrügerische Absicht verfolgte. Indem jedoch Sicherheitslücken im unsichtbaren Code, der unter dem Betriebssystem so vieler Computer liegt, bestehen bleiben, untergräbt es dennoch eine grundlegende Ebene des Vertrauens der Benutzer in ihre Computer. „Hier gibt es keine Absicht, nur Schlamperei. Aber ich möchte nicht, dass jemand meine Firmware schreibt, der schlampig ist“, sagt Smith. „Wenn Sie Ihrer Firmware nicht vertrauen, bauen Sie Ihr Haus auf Sand.“