数百款技嘉主板型号存在潜在后门

安全公司 Eclypsium 表示，主板中的更新过程可能会忽略验证下载是否来自技嘉的官方来源。

迈克尔 · 坎2023 年 6 月 1 日

更新：技嘉开始发布修复程序以解决主板漏洞。

“技嘉工程师在对技嘉主板上的新 BIOS 进行全面测试和验证后，已经降低了潜在风险，并将英特尔 700/600 和 AMD 500/400 系列 Beta BIOS 上传到官方网站，”供应商在一份声明中表示（在新窗口中打开）星期四。

具体来说，该修复程序将强制主板中的更新机制以确保任何下载的固件都是合法的，并且来自技嘉的官方来源。

“英特尔 500/400 和 AMD 600 系列芯片组主板的 BIOS 更新也将于今天晚些时候在技嘉官方网站上发布，以及之前发布的主板的更新，”供应商补充道。

例如，更新机制旨在从三个技嘉网域下载最新固件。然而，Eclypsium 发现更新过程可以忽略验证下载来自官方技嘉来源。因此，黑客可以使用“中间人攻击”（例如接管本地 Wi-Fi 网络）来欺骗其中一个假的 Gigabyte 网络域并将恶意软件推送到受影响的计算机。 

Millions of Gigabyte motherboards may have a serious problem: a feature designed to update the hardware with the latest firmware can also be exploited to become a backdoor for hackers. 

The findings(Opens in a new window) come from cybersecurity firm Eclypsium, which uncovered the security vulnerability in 271 Gigabyte motherboard models. 

The discovery is a bit ironic since updating your motherboard’s firmware can prevent security threats while enabling new features or boosting the product’s performance. The problem is that Gigabyte’s update mechanism was implemented with little security in place to stop hackers from hijacking the same processes. 

另一种可能性是，黑客可以渗透官方技嘉服务器以利用更新机制并自动将恶意软件推送到各种主板型号。（2021 年，这家 PC 供应商遭受了勒索软件攻击，几台内部服务器陷入困境。） 

更新机制特别强大，因为它可以在 Windows 启动过程中加载软件。更新机制也很难删除，因为它嵌入在主板的UEFI（统一可扩展固件接口）中，可启动您的计算机。 

因此，劫持更新机制可能为黑客创建能够在 Windows PC 上持久存在的恶意软件铺平道路。同样的恶意软件也很难检测到，因为它会伪装成合法的 Gigabyte 系统进程。 

根据 Eclypsium，受影响的技嘉型号（在新窗口中打开）涵盖过去四年的 AMD 和 Intel 主板，包括最新的 X670 和 Z790 主板。好消息是 Eclypsium 没有发现黑客利用更新机制的证据。   

尽管如此，这家网络安全公司还是警告说：“一个活跃的、广泛传播的、难以移除的后门会给拥有技嘉系统的组织带来供应链风险。” 一位 Eclypsium 研究人员还告诉（在新窗口中打开） 连线：“我仍然认为这最终会成为未来几年技嘉主板上相当普遍的问题。”

技嘉没有立即回应置评请求。但 Eclypsium 表示它正在与 PC 供应商合作解决这个问题。这将需要“固件更新以完全删除”受影响系统的更新机制。同时，用户可以通过在受影响的技嘉主板的 BIOS 设置中禁用“应用程序中心下载和安装”功能来保护自己，然后设置 BIOS 密码以阻止恶意更改。