ﻛﺸﻒ آﺳﻴﺐﭘﺬﻳﺮي در ﻣﺎدرﺑﺮدﻫﺎي ﺷﺮﻛﺖ ﮔﻴﮕﺎﺑﺎﻳﺖ

ﺷﺮﻛﺖﮔﻴﮕﺎﺑﺎﻳﺖ اﺧﻴﺮاً ﺑﻪروزرﺳﺎﻧﻲ اى را ﺑﺮاى ﻓﺮمور ﻣﻮرد اﺳﺘﻔﺎده در ﻣﺎدرﺑﻮردﻫﺎى ﺧﻮد ﻣﻨﺘﺸﺮ ﻧﻤﻮده اﺳﺖ. اﻳﻦ ﺑﻪروزرﺳﺎﻧﻲ ﺑﺎ ﻫﺪف ﻣﺮﺗﻔﻊ ﺳﺎﺧﺘﻦ آﺳﻴﺐﭘﺬﻳﺮىﻫﺎى اﻣﻨﻴﺘﻲ در ﺑﻴﺶ از ٢٧٠ ﻣﺪل از ﻣﺎدرﺑﻮردﻫﺎى ﺗﻮﻟﻴﺪى اﻳﻦ ﺷﺮﻛﺖ ﻣﻨﺘﺸﺮ ﺷﺪه اﺳﺖ؛ ﮔﻔﺘﻪ ﺷﺪه از اﻳﻦ آﺳﻴﺐﭘﺬﻳﺮىﻫﺎ ﻣﻲﺗﻮان ﺑﻪ ﻣﻨﻈﻮر ﻧﺼﺐ ﺑﺪاﻓﺰار ﺑﺮ روى ﻣﺤﺼﻮﻻت ﺷﺮﻛﺖ ﻣﺰﺑﻮر ﺑﻬﺮهﺑﺮدارى ﻧﻤﻮد. ﺑﻪروزرﺳﺎﻧﻲ ﻣﺰﺑﻮر، در واﻛﻨﺶ ﺑﻪ ﮔﺰارش ﻣﻨﺘﺸﺮ ﺷﺪه از ﺳﻮى ﻳﻚ ﺷﺮﻛﺖ اﻣﻨﻴﺘﻲ ﻛﻪ ﻣﻮﻓﻖ ﺑﻪ ﻛﺸﻒ آﺳﻴﺐﭘﺬﻳﺮىﻫﺎﻳﻲ در ﻳﻚ ﻗﺎﺑﻠﻴﺖ رﺳﻤﻲ ﮔﻴﮕﺎﺑﺎﻳﺖ (ﻛﻪ ﺑﺮاى ﻧﺼﺐ ﻳﻚ ﻧﺮم اﻓﺰار ﺑﻪروزرﺳﺎﻧﻲ ﺧﻮدﻛﺎر در وﻳﻨﺪوز اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد) ﺷﺪه ﺑﻮد، ﻣﻨﺘﺸﺮ ﺷﺪه اﺳﺖ. ﮔﻔﺘﻨﻲ اﺳﺖ ﺳﻴﺴﺘﻢﻋﺎﻣﻞ وﻳﻨﺪوز داراى ﻗﺎﺑﻠﻴﺘﻲ ﺑﻪ ﻧﺎم WPBT ﻣﻲﺑﺎﺷﺪ ﻛﻪ ﺗﻮﺳﻌﻪدﻫﻨﺪﮔﺎن ﻓﺮم ور را ﻗﺎدر ﻣﻲﺳﺎزد ﺗﺎ ﺑﻪ ﺻﻮرت ﺧﻮدﻛﺎر، ﻳﻚ ﻓﺎﻳﻞ اﺟﺮاﻳﻲ را از Firmware Image اﺳﺘﺨﺮاج ﻛﺮده و اﻳﻦ ﻓﺎﻳﻞ را در ﺳﻴﺴﺘﻢﻋﺎﻣﻞ اﺟﺮا ﻛﻨﻨﺪ.

ﺑﻪ ﮔﻔﺘﻪ ﻣﺤﻘﻘﺎن، WPBT ﺑﻪ ﻓﺮوﺷﻨﺪهﻫﺎ و OEM ﻫﺎ اﻳﻦ اﻣﻜﺎن را ﻣﻲ دﻫﺪ ﺗﺎ ﻳﻚ ﻓﺎﻳﻞ .exe را در ﻻﻳﻪ UEFI اﺟﺮا ﻧﻤﺎﻳﻨﺪ؛ ﺑﺎ ﻫﺮ ﺑﺎر ﺑﻮت ﺷﺪن وﻳﻨﺪوز، اﻳﻦ ﺳﻴﺴﺘﻢﻋﺎﻣﻞ، UEFI را ﺑﺮرﺳﻲ ﻛﺮده و ﻓﺎﻳﻞ .exe ﻣﺮﺑﻮﻃﻪ را اﺟﺮا ﻣﻲﻛﻨﺪ؛ اﻳﻦ ﻗﺎﺑﻠﻴﺖ ﺑﺮاى اﺟﺮاى ﻧﺮم اﻓﺰارﻫﺎﻳﻲ ﻛﻪ در Windows Media ﻗﺮار ﻧﺪارﻧﺪ، ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﻲﮔﻴﺮد. در ﻫﻤﻴﻦ ارﺗﺒﺎط، ﻻزم ﺑﻪ ذﻛﺮ اﺳﺖ ﻣﺎدرﺑﻮردﻫﺎى ﺷﺮﻛﺖ ﮔﻴﮕﺎﺑﺎﻳﺖ از ﻗﺎﺑﻠﻴﺖ WPBT به منظور نصب یک نرم افزار به روز رسانی خودکار در مسیر GigabyteUpdateService.exe'٣٢'%SystemRoot%system در زمان نصب‌ ویندوز جدید بر روی‌ سیستم‌، استفاده می‌ کنند. این‌ قابلیت‌ که‌ به‌ صورت پیش‌فرض فعال می‌باشد، می‌ تواند از طریق‌ تنظیمات مادربورد، بخش‌ Peripherals و در ادامه‌ بخش‌ App Center Download & Install Configuration و گزینه‌ های‌ موجود در این‌ بخش‌، غیرفعال شود.

شرکت‌ امنیتی‌ای‌ که‌ موفق‌ به‌ کشف‌ تعدادی‌ آسیب‌پذیری‌ در این‌ فرآیند شده است‌، اعلام کرده که‌ مهاجمان می‌توانند به‌ صورت بالقوه از آنها برای‌ توزیع‌ بدافزار در حملات MiTM بهره برداری‌ نمایند. محققان امنیتی‌ اشاره داشتند که‌ زمانی‌ که‌ فایل‌ اجرایی‌ GIGABYTEUpdateService.exe اجرا می‌شود، این‌ فایل‌ به‌ یکی‌ از آدرس های‌ URL شرکت‌ مزبور متصل‌ می‌شود تا از این‌ طریق‌، آخرین‌ نسخه‌ از نرم افزار به‌روزرسانی‌ خودکار، نصب‌ گردد. مشکل‌ در اینجا است‌ که‌ آدرس های‌ URL مورد استفاده برای‌ دانلود نرم افزار، از ارتباطات ناایمن‌ HTTP استفاده می‌کنند که‌ در حملات MiTM می‌توان آنها را سرقت‌ کرده و به‌ جای‌ دانلود فایل‌ اصلی‌، فایل‌ مخرب دانلود شده و در نهایت‌، بدافزار بر روی‌ سیستم‌ نصب‌ شود. علاوه بر این‌، محققان اعلام کردند که‌ شرکت‌ گیگابایت‌ فرآیند Signature Verification را برای‌ فایل‌های‌ دانلود شده طی‌ نمی‌کند؛ این‌ فرآیند می‌تواند از نصب‌ فایل‌ های‌ مخرب یا تغییر داده شده، جلوگیری‌ نماید.

در حال حاضر شرکت‌ یاد شده، به‌روزرسانی‌ فرم ور برای‌ مادربوردهای‌ دارای‌ چیپست‌های‌ سری‌ ٤٠٠، ٥٠٠، ٦٠٠ و ٧٠٠ اینتل‌ و نیز مادربوردهای‌ دارای‌ چیپست‌های‌ سری‌ ٥٠٠،٤٠٠ و ٦٠٠ شرکت‌ AMD را برای‌ رفع‌ آسیب‌پذیری‌ مربوطه‌ منتشر نموده است‌.

این‌ شرکت‌ در اطلاعیه‌ منتشر شده، اعلام کرده است‌ که‌ به‌ منظور تقویت‌ امنیت‌ سیستم‌، بررسی‌های‌ امنیتی‌ سختگیرانه‌تری‌ را در فرآیند بوت شدن سیستم‌عامل‌ اعمال نموده است‌؛ شرکت‌ گیگابایت‌ در خصوص فرآیند Signature Verification اعلام کرده است‌ که‌ فرآیند اعتبارسنجی‌ مزبور را برای‌ فایل‌ های‌ دانلود شده از سرورهای‌ از راه دور، تقویت‌ نموده است‌؛ حسب‌ ادعای‌ این‌ شرکت‌، فرآیند مزبور بهبودیافته‌ تصدیق‌، از یکپارچگی‌ و قانونی‌ بودن محتوا اطمینان حاصل‌ می‌نماید که‌ این‌ موضوع، هرگونه‌ تلاش مهاجمان برای‌ تزریق‌ کد مخرب را خنثی‌ می‌سازد؛ در ادامه‌، گیگابایت‌ اعلام کرده که‌ محدودیت‌ هایی‌ را در خصوص سطوح دسترسی‌ اعمال کرده است‌؛ این‌ شرکت‌ یک‌ روش استاندارد مبتنی‌ بر رمزنگاری‌ را برای‌ تصدیق‌ Certificate های‌ سرورهای‌ از راه دور مورد استفاده قرار می‌ دهد که‌ حسب‌ ادعای‌ آن شرکت‌، این‌ روش، تضمین‌ می‌کند که‌ فایل‌های‌ مورد نیاز، صرفاً از طریق‌ سرورهایی‌ که‌ دارای‌ Certificateهای‌ معتبر و قابل‌ اطمینان هستند دانلود می‌شوند که‌ این‌ اقدام نیز، یک‌ لایه‌ جدید محافظتی‌ به‌ شمار می‌رود.

گرچه‌ ریسک‌ های‌ ناشی‌ از این‌ آسیب‌پذیری‌ها، کم‌ می‌باشند، ولی‌ به‌ تمامی‌ کاربران مادربوردهای‌ شرکت‌ گیگابایت‌ توصیه‌ شده تا اقدام به‌ نصب‌ جدیدترین‌ نسخه‌ از فرمور ارائه‌ شده نمایند تا از تهدیدات احتمالی‌، مصون بمانند. علاوه بر این‌، در صورتی‌ که‌ کاربران تمایل‌ به‌ حذف نرم افزار به‌روزرسانی‌ خودکار گیگابایت‌ داشته‌ باشند، ابتدا باید تنظیمات App Center Download & Install Configuration را در BIOS غیرفعال نمایند و در ادامه‌ و از طریق‌ ویندوز، اقدام به‌ حذف نرم افزار مزبور نمایند.