Komfort ist gut, Sicherheit ist besser: eine Devise, deren Außer-Acht-Lassen dem taiwanischen Hardwarehersteller Gigabyte nun einige Kritik von Cybersecurity-Experten einbringt.

Zahlreiche Mainboards des Unternehmens bringen eine Funktion mit, die aus Sicherheitsperspektive als gefährliche Backdoor betrachtet wird. Betroffen sind 270 Modelle und damit Millionen PCs.

Quell des Ärgers der Fachleute von Eclypsium ist der Gigabyte-Update-Service. Dieser nistet sich im System ähnlich ein, wie es auch verschiedene Malwares tun, mit denen das System eines Nutzers unterwandert werden soll. Er wird als Systemdienst eingerichtet und kann automatisch Software von drei verschiedenen URLs nachladen und ausführen.

Auch neue Modelle wie das B650 Gaming X AX sind betroffen.
Gigabyte

Security-Basics missachtet

Bei der Umsetzung werden aber selbst grundlegende Sicherheitsregeln verletzt. Eine der drei Adressen wird über eine ungesicherte HTTP-Verbindung angesteuert und ist damit ein "gutes" Ziel für Man-in-the-Middle-Attacken. Dem nicht genug, erfolgt laut Eclypsium auch keine Verifizierung von heruntergeladenen Dateien. Gelingt es einem Angreifer, dem Updater Malware unterzujubeln, wird diese anschließend ungeprüft und ohne Zutun des Nutzers installiert.

Dementsprechend betrachten die Sicherheitsforscher den Updatedienst als "UEFI-Backdoor", die ähnlich funktioniert wie bekannte Malware wie Computrace/LoJack oder Mosaic Regressor. "Wer einen solchen Computer hat, muss sich Sorgen machen, dass es (das Feature, Anm.) einfach etwas auf unsichere Weise aus dem Internet lädt und ausführt, ohne dass man selbst involviert ist", so John Loucaides, Forschungschef bei Eclypsium. "Das Konzept, den Nutzer zu unterwandern und Kontrolle über seinen Rechner zu ergreifen, gefällt den meisten Leuten nicht."

Mit der Veröffentlichung des Reports war man schneller als sonst, da man den Update-Service als akute Gefahr betrachtet. Hinweise darauf, dass es schon Angriffe auf bzw. über diese Schwachstelle gab, fand man nicht.

Sicherheitsmaßnahmen

Als Sicherheitsmaßnahmen empfiehlt man unter anderem, BIOS-Updates vor dem Einspielen einem Malware-Scan zu unterziehen und die Funktion "APP Center Download & Install" in den UEFI-Einstellungen auszuschalten sowie ein BIOS-Passwort zu setzen. BIOS-Updates können auch manuell auf der Gigabyte-Website im Support-Segment für das jeweilige Motherboard heruntergeladen werden. Administratoren können zudem sicherheitshalber den Zugriff auf die drei URLs blockieren, die vom Update-Service angesteuert werden.

  • http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
  • https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
  • https://software-nas/Swhttp/LiveUpdate4

Eclypsium hat eine vollständige Liste aller betroffenen Mainboard-Modelle (PDF) veröffentlicht. Sie umfasst Geräte der letzten drei Chipgenerationen von Intel und AMD. Eine vollständige Behebung, so die Experten, könne nur Gigabyte selber mittels BIOS-Update durchführen. Das Unternehmen hat bislang öffentlich nicht auf den Bericht reagiert. (gpi, 1.6.2023)