NEWS

271 Mainboards von Sicherheitslücke betroffen

Gigabyte verteilt erste BIOS-Updates

Portrait des Authors


Gigabyte verteilt erste BIOS-Updates
3

Werbung

Die Forscher von Eclypsium haben in einem Blog-Beitrag darüber berichtet, dass gleich 271 Mainboards vom Hersteller Gigabyte eine firmwarebasierte Sicherheitslücke aufweisen. Betroffen ist dabei die Einstellung "App Center Download & Install" im UEFI des Gigabyte-Mainboards. Die Übermittlung der eigentlichen Daten erfolgt dabei teilweise unverschlüsselt, was einen Man-In-The-Middle-Angriff natürlich begünstigen kann.

Neben den anderen Mainboard-Herstellern bietet auch das UEFI von Gigabyte die Möglichkeit an, die eigene System-Software auf dem Windows-PC zu installieren. Bei Gigabyte ist es das App-Center. Unter Windows ploppt dann ein Fenster auf, auf dem der Anwender der Installation entweder zustimmen oder sie ablehnen kann. Die Einstellung im BIOS ist standardmäßig aktiviert. Nach dem Starten des Systems wird laut Eclypsium eine bin-Datei auf den Datenträger geschrieben, die dann im Anschluss unter Windows ausgeführt wird. Es handelt sich dabei um die GigabyteUpdateService.exe, die ins System32-Verzeichnis geschrieben wurde.

Soweit ist das auch logisch und so werden das auch die anderen Mainboard-Hersteller auf ähnliche Weise gestalten. Kritisch bei Gigabyte ist hierbei jedoch, dass die ausführbare Datei entweder auf eine HTTP-URL zurückgreift, deren Verbindung natürlich nicht verschlüsselt ist. Alternativ gibt es auch zwei HTTPS-URLs, die zwar auf den ersten Blick sicher erscheinen. Allerdings soll laut Eclypsium die Validierung der Server-Zertifikate nicht in Ordnung sein, sodass auch diese Kommunikation nicht als sicher eingestuft werden kann. Es handelt sich um folgende URLs:

  • http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
  • https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
  • https://software-nas/Swhttp/LiveUpdate4

Letzte URL ist dabei keine vollständig qualizierte Domain, sondern eher ein Rechnername im internen Netzwerk. Sollte daher ein Angreifer im selben Subnetz unterwegs sein, könnte dieser unter diesem Rechnernamen eine Schadsoftware einschleusen, die ein Gigabyte-System womöglich herunterlädt und schließlich ausführt.

Gigabyte stellt BIOS-Updates bereit

Abhilfe gegen diese Sicherheitslücke schaffen natürlich BIOS-Updates und diese werden von Gigabyte auch nach und nach zur Verfügung gestellt. Wem das allerdings zu lange dauert, der kann die Funktion im BIOS zunächst deaktivieren. Zusätzlich wäre es ratsam, das BIOS selbst mit einem Passwort zu sichern. Auf der Eclypsium-Seite gibt es zudem auch eine Liste, die alle Mainboards von Gigabyte auflistet, die von der Sicherheitslücke betroffen sind.