Blog News
ﻛﺸﻒ آﺳﻴﺐﭘﺬﻳﺮي در ﻣﺎدرﺑﺮدﻫﺎي ﺷﺮﻛﺖ ﮔﻴﮕﺎﺑﺎﻳﺖ
ﻛﺸﻒ آﺳﻴﺐﭘﺬﻳﺮي در ﻣﺎدرﺑﺮدﻫﺎي ﺷﺮﻛﺖ ﮔﻴﮕﺎﺑﺎﻳﺖ
ﺷﺮﻛﺖﮔﻴﮕﺎﺑﺎﻳﺖ اﺧﻴﺮاً ﺑﻪروزرﺳﺎﻧﻲ اى را ﺑﺮاى ﻓﺮمور ﻣﻮرد اﺳﺘﻔﺎده در ﻣﺎدرﺑﻮردﻫﺎى ﺧﻮد ﻣﻨﺘﺸﺮ ﻧﻤﻮده اﺳﺖ. اﻳﻦ ﺑﻪروزرﺳﺎﻧﻲ ﺑﺎ ﻫﺪف ﻣﺮﺗﻔﻊ ﺳﺎﺧﺘﻦ آﺳﻴﺐﭘﺬﻳﺮىﻫﺎى اﻣﻨﻴﺘﻲ در ﺑﻴﺶ از ٢٧٠ ﻣﺪل از ﻣﺎدرﺑﻮردﻫﺎى ﺗﻮﻟﻴﺪى اﻳﻦ ﺷﺮﻛﺖ ﻣﻨﺘﺸﺮ ﺷﺪه اﺳﺖ؛ ﮔﻔﺘﻪ ﺷﺪه از اﻳﻦ آﺳﻴﺐﭘﺬﻳﺮىﻫﺎ ﻣﻲﺗﻮان ﺑﻪ ﻣﻨﻈﻮر ﻧﺼﺐ ﺑﺪاﻓﺰار ﺑﺮ روى ﻣﺤﺼﻮﻻت ﺷﺮﻛﺖ ﻣﺰﺑﻮر ﺑﻬﺮهﺑﺮدارى ﻧﻤﻮد. ﺑﻪروزرﺳﺎﻧﻲ ﻣﺰﺑﻮر، در واﻛﻨﺶ ﺑﻪ ﮔﺰارش ﻣﻨﺘﺸﺮ ﺷﺪه از ﺳﻮى ﻳﻚ ﺷﺮﻛﺖ اﻣﻨﻴﺘﻲ ﻛﻪ ﻣﻮﻓﻖ ﺑﻪ ﻛﺸﻒ آﺳﻴﺐﭘﺬﻳﺮىﻫﺎﻳﻲ در ﻳﻚ ﻗﺎﺑﻠﻴﺖ رﺳﻤﻲ ﮔﻴﮕﺎﺑﺎﻳﺖ (ﻛﻪ ﺑﺮاى ﻧﺼﺐ ﻳﻚ ﻧﺮم اﻓﺰار ﺑﻪروزرﺳﺎﻧﻲ ﺧﻮدﻛﺎر در وﻳﻨﺪوز اﺳﺘﻔﺎده ﻣﻲ ﺷﻮد) ﺷﺪه ﺑﻮد، ﻣﻨﺘﺸﺮ ﺷﺪه اﺳﺖ. ﮔﻔﺘﻨﻲ اﺳﺖ ﺳﻴﺴﺘﻢﻋﺎﻣﻞ وﻳﻨﺪوز داراى ﻗﺎﺑﻠﻴﺘﻲ ﺑﻪ ﻧﺎم WPBT ﻣﻲﺑﺎﺷﺪ ﻛﻪ ﺗﻮﺳﻌﻪدﻫﻨﺪﮔﺎن ﻓﺮم ور را ﻗﺎدر ﻣﻲﺳﺎزد ﺗﺎ ﺑﻪ ﺻﻮرت ﺧﻮدﻛﺎر، ﻳﻚ ﻓﺎﻳﻞ اﺟﺮاﻳﻲ را از Firmware Image اﺳﺘﺨﺮاج ﻛﺮده و اﻳﻦ ﻓﺎﻳﻞ را در ﺳﻴﺴﺘﻢﻋﺎﻣﻞ اﺟﺮا ﻛﻨﻨﺪ.
ﺑﻪ ﮔﻔﺘﻪ ﻣﺤﻘﻘﺎن، WPBT ﺑﻪ ﻓﺮوﺷﻨﺪهﻫﺎ و OEM ﻫﺎ اﻳﻦ اﻣﻜﺎن را ﻣﻲ دﻫﺪ ﺗﺎ ﻳﻚ ﻓﺎﻳﻞ .exe را در ﻻﻳﻪ UEFI اﺟﺮا ﻧﻤﺎﻳﻨﺪ؛ ﺑﺎ ﻫﺮ ﺑﺎر ﺑﻮت ﺷﺪن وﻳﻨﺪوز، اﻳﻦ ﺳﻴﺴﺘﻢﻋﺎﻣﻞ، UEFI را ﺑﺮرﺳﻲ ﻛﺮده و ﻓﺎﻳﻞ .exe ﻣﺮﺑﻮﻃﻪ را اﺟﺮا ﻣﻲﻛﻨﺪ؛ اﻳﻦ ﻗﺎﺑﻠﻴﺖ ﺑﺮاى اﺟﺮاى ﻧﺮم اﻓﺰارﻫﺎﻳﻲ ﻛﻪ در Windows Media ﻗﺮار ﻧﺪارﻧﺪ، ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﻲﮔﻴﺮد. در ﻫﻤﻴﻦ ارﺗﺒﺎط، ﻻزم ﺑﻪ ذﻛﺮ اﺳﺖ ﻣﺎدرﺑﻮردﻫﺎى ﺷﺮﻛﺖ ﮔﻴﮕﺎﺑﺎﻳﺖ از ﻗﺎﺑﻠﻴﺖ WPBT به منظور نصب یک نرم افزار به روز رسانی خودکار در مسیر GigabyteUpdateService.exe'٣٢'%SystemRoot%system در زمان نصب ویندوز جدید بر روی سیستم، استفاده می کنند. این قابلیت که به صورت پیشفرض فعال میباشد، می تواند از طریق تنظیمات مادربورد، بخش Peripherals و در ادامه بخش App Center Download & Install Configuration و گزینه های موجود در این بخش، غیرفعال شود.
شرکت امنیتیای که موفق به کشف تعدادی آسیبپذیری در این فرآیند شده است، اعلام کرده که مهاجمان میتوانند به صورت بالقوه از آنها برای توزیع بدافزار در حملات MiTM بهره برداری نمایند. محققان امنیتی اشاره داشتند که زمانی که فایل اجرایی GIGABYTEUpdateService.exe اجرا میشود، این فایل به یکی از آدرس های URL شرکت مزبور متصل میشود تا از این طریق، آخرین نسخه از نرم افزار بهروزرسانی خودکار، نصب گردد. مشکل در اینجا است که آدرس های URL مورد استفاده برای دانلود نرم افزار، از ارتباطات ناایمن HTTP استفاده میکنند که در حملات MiTM میتوان آنها را سرقت کرده و به جای دانلود فایل اصلی، فایل مخرب دانلود شده و در نهایت، بدافزار بر روی سیستم نصب شود. علاوه بر این، محققان اعلام کردند که شرکت گیگابایت فرآیند Signature Verification را برای فایلهای دانلود شده طی نمیکند؛ این فرآیند میتواند از نصب فایل های مخرب یا تغییر داده شده، جلوگیری نماید.
در حال حاضر شرکت یاد شده، بهروزرسانی فرم ور برای مادربوردهای دارای چیپستهای سری ٤٠٠، ٥٠٠، ٦٠٠ و ٧٠٠ اینتل و نیز مادربوردهای دارای چیپستهای سری ٥٠٠،٤٠٠ و ٦٠٠ شرکت AMD را برای رفع آسیبپذیری مربوطه منتشر نموده است.
این شرکت در اطلاعیه منتشر شده، اعلام کرده است که به منظور تقویت امنیت سیستم، بررسیهای امنیتی سختگیرانهتری را در فرآیند بوت شدن سیستمعامل اعمال نموده است؛ شرکت گیگابایت در خصوص فرآیند Signature Verification اعلام کرده است که فرآیند اعتبارسنجی مزبور را برای فایل های دانلود شده از سرورهای از راه دور، تقویت نموده است؛ حسب ادعای این شرکت، فرآیند مزبور بهبودیافته تصدیق، از یکپارچگی و قانونی بودن محتوا اطمینان حاصل مینماید که این موضوع، هرگونه تلاش مهاجمان برای تزریق کد مخرب را خنثی میسازد؛ در ادامه، گیگابایت اعلام کرده که محدودیت هایی را در خصوص سطوح دسترسی اعمال کرده است؛ این شرکت یک روش استاندارد مبتنی بر رمزنگاری را برای تصدیق Certificate های سرورهای از راه دور مورد استفاده قرار می دهد که حسب ادعای آن شرکت، این روش، تضمین میکند که فایلهای مورد نیاز، صرفاً از طریق سرورهایی که دارای Certificateهای معتبر و قابل اطمینان هستند دانلود میشوند که این اقدام نیز، یک لایه جدید محافظتی به شمار میرود.
گرچه ریسک های ناشی از این آسیبپذیریها، کم میباشند، ولی به تمامی کاربران مادربوردهای شرکت گیگابایت توصیه شده تا اقدام به نصب جدیدترین نسخه از فرمور ارائه شده نمایند تا از تهدیدات احتمالی، مصون بمانند. علاوه بر این، در صورتی که کاربران تمایل به حذف نرم افزار بهروزرسانی خودکار گیگابایت داشته باشند، ابتدا باید تنظیمات App Center Download & Install Configuration را در BIOS غیرفعال نمایند و در ادامه و از طریق ویندوز، اقدام به حذف نرم افزار مزبور نمایند.