headless 曰く、
Eclypsium が報告した マザーボードのバックドア様挙動について、GIGABYTE がセキュリティ強化対策を発表している
(プレスリリース、
BleepingComputer の記事)。問題の挙動はシステムのスタートアッププロセスでファームウェアが Windows のネイティブ実行ファイルを投下・実行し、この実行ファイルがセキュアでない方法で追加のペイロードをダウンロードして実行するというもの。
この実行ファイルは UEFI ファームウェアに埋め込まれており、ベンダーと OEM が UEFI レイヤーで .exe ファイル実行を可能にする Windows プラットフォームバイナリテーブル (WPBT) により実行される。しかし、実行ファイルが追加のペイロードをダウンロードするリモートサーバーは HTTP 接続、またはリモートサーバーの証明書が適切に検証されない HTTPS 接続であり、ペイロードのデジタル署名を検証する機能もファームウェアには実装されていない。そのため、攻撃者は中間者攻撃 (MITM) や Living Off the Land 手法によりシステムを永続的に感染させることが可能になるという。
GIGABYTE では対策としてリモートサーバーからダウンロードしたファイルの検証プロセスを強化し、リモートサーバー証明書の標準的な暗号化検証を有効にしたそうだ。対象となるのは「APP Center Download & Install」機能 (APP Center 後継の GIGABYTE Control Center 含む) を搭載したマザーボード製品で、順次 UEFI BIOS 更新をダウンロードページで公開しているとのこと。更新完了までの対策としては、UEFI BIOS の設定で「APP Center Download & Install」機能の無効化が推奨されている。
| ハードウェア
| セキュリティ
|
関連ストーリー:
Windowsマシンのセキュアブートを無効化できるセキュアブートポリシーが流出、解析結果が公開される
2016年08月14日
Source: スラッシュドット
