Napisałem kiedyś dla Was artykuł o tym, dlaczego warto aktualizować BIOS płyty głównej. Wspomniałem wtedy, iż jednym z powodów jest eliminacja zagrożeń wynikających z luk w oprogramowaniu. W firmware ponad 200 płyt głównych Gigabyte wykryto właśnie groźną lukę, która może skutkować instalacją niewykrywalnego malware na komputerach. Problem jest poważny.
Groźna luka w firmware płyt głównych Gigabyte
Prawie nikt nie aktualizuje firmware BIOS/UEFI w płytach głównych w laptopach i komputerach stacjonarnych, niestety. Czasami konsumenci przez to skazują się na niższą wydajność peceta, czasami ściągają na siebie niebezpieczeństwo. W firmware UEFI płyt głównych Gigabyte dla procesorów Intel od 8. do 11. generacji wykryto właśnie groźną lukę, która może być wykorzystywana przez cyberprzestępców.
Luka w firmware płyt głównych Gigabyte została odkryta przez ekspertów z Binarly and Carnegie Mellon University. O zgrozo, dotyczy ona ponad 240 modeli płyt głównych produkowanych w latach 2017 – 2021. Podatność może pozwolić hakerom ominąć najważniejsze mechanizmy zabezpieczeń, takie jak Secure Boot – jeszcze zanim uruchomi się Windows lub jakikolwiek inny system operacyjny. Złe wieści polegają na tym, iż ponad połowa modeli urządzeń nie jest już wspierana.
Modele płyt głównych Gigabyte z wykrytą luką to urządzenia z chipsetami:
- Intel H110;
- Intel Z170, H170, B150, Q170;
- Intel Z270, H270, B250, Q270;
- Intel Z370, B365;
- Intel Z390, H310, B360, Q370, C246;
- Intel Z490, H470. H410, W480;
- Intel Z590, B560. H510, Q570.
O co dokładnie chodzi?
Wykryte luki znajdują się w trybie System Management Mode (SMM) – najbardziej uprzywilejowanym środowisku wykonawczym procesora, odpowiedzialnym za obsługę niskopoziomowych zadań działających poniżej systemu operacyjnego. SMM korzysta z chronionego obszaru pamięci, który w założeniu powinien być niedostępny dla nieautoryzowanego kodu. Błędy w implementacji firmware dla płyt Gigabyte sprawiają, iż atakujący z podwyższonymi uprawnieniami – uzyskanymi lokalnie lub zdalnie – mogą przejąć kontrolę nad SMM, a w konsekwencji nad całym systemem.
Po uzyskaniu dostępu administratora, hakerzy są w stanie zainstalować złośliwe oprogramowanie, które przetrwa reinstalację systemu operacyjnego. Mogą też wyłączyć najważniejsze zabezpieczenia, takie jak Secure Boot czy Intel Boot Guard. Otwiera to drogę do zaawansowanych zagrożeń, np. bootkitów czy rootkitów firmware. Działają one w sposób niewidoczny dla większości narzędzi bezpieczeństwa.
Choć firma American Megatrends, twórca większości kodu UEFI wykorzystywanego przez Gigabyte, wcześniej przygotowała poprawki, były one przekazywane poufnie i nie trafiły w pełni do konsumenckich produktów.
Gigabyte już zareagowało
Gigabyte opublikował już listę płyt głównych z luką w firmware i rozpoczął udostępnianie aktualizacji BIOS-u. Pierwsze poprawki zaczęto wdrażać w czerwcu. Pojawia się jednak poważna przeszkoda. Niemal połowa zagrożonych płyt głównych osiągnęła już status End of Life (EOL), co oznacza brak dalszego wsparcia i aktualizacji. W tym wypadku pomoc uzyskają wyłącznie klienci biznesowi, za pośrednictwem wsparcia FAE.
Wielu użytkowników indywidualnych i małych firm pozostanie bez realnego rozwiązania – poza wymianą sprzętu na nowszy. W skrócie: zawaliliśmy, radźcie sobie sami.
