Gigabytes Hintertür - Sicherheitslücke im UEFI (BIOS) vieler Mainboards ‐ Seite 1/2

UPDATE vom 07.06.2023:Schon kurz nach der Veröffentlichung der Untersuchung von Eclypsium Research hatte Gigabyte die beschriebenen Probleme in einer Stellungnahme bestätigt. Von Eclypsium wurde zudem eine Liste der betroffenen Hauptplatinen (PDF) bereitgestellt. Inzwischen gibt es auch UEFI-Updates für die betroffenen Mainboards. Wir haben uns angesehen, was sich geändert hat - und was nicht.

Die aktuellen UEFI-Versionen zahlreicher Gigabyte-Motherboards enthalten eine Hintertüre, welche der Hersteller dort platziert hat, um Windows-Nutzer mit dem Gigabyte App Center zu beglücken. Wie eine Analyse von Eclypsium zeigt, wurde diese lästige Funktion derart schlampig umgesetzt, dass eine ernstzunehmende Sicherheitslücke entstanden ist. Aber man kann seinen PC schützen, ohne dafür auf Linux umsteigen zu müssen.

An dieser Stelle muss ich mich erst einmal entschuldigen: Mir war das seltsame Verhalten der Gigabyte-Hauptplatinen bereits im Februar aufgefallen, doch nach ein paar Stunden hatte ich die Nachforschungen abgebrochen, da ich damals mit anderen Projekten beschäftigt war. Vermutlich hätten ein paar weitere Schritte genügt, um das Ausmaß des Problems offenzulegen. Doch trotz eines ganz miesen Bauchgefühls hatte ich die Sache leider nicht weiter verfolgt.

Ein Ärgernis...

Nach einem UEFI-Update, UEFI ist der Nachfolger des BIOS und wird von den meisten Mainboard-Herstellern nach wie vor (und fälschlich) als BIOS tituliert, Anfang 2023 machten sich diverse Gigabyte-Hauptplatinen in meinem Umfeld negativ bemerkbar, denn nach der Aktualisierung versuchten sie unter Windows eine Software namens Gigabyte App Center aufzuspielen.

Fotostrecke mit weiteren und größeren Fotos...

Man kann die Installation zwar abbrechen, dennoch stellte sich mir die Frage, was sie ausgelöst hatte, denn auf den betroffenen Systemen war keine Software von Gigabyte installiert. Es musste folglich mit dem UEFI-Update zu tun habe und in den UEFI-Einstellungen wurde ich dann auch fündig, denn dort lauerte eine neue Option namens APP Center Download & Install.

Fotostrecke mit weiteren und größeren Fotos...

Ich hatte die Installation des Gigabyte App Center abgebrochen und die neue UEFI-Option deaktiviert, dennoch fühlte sich das Ganze falsch an. Den Nutzern eine Hersteller-Software auf diese Weise aufzudrängen, ist zumindest unschön, doch in Zeiten der Smartphones haben sich die meisten von uns damit abgefunden, nicht mehr der Herr bzw. die Herrin über ihre Geräte zu sein. Mir ging das alles gegen den Strich, zumal man mit solchen UEFI-Mechanismen viel Schindluder treiben kann, doch mir fehlte einfach die Zeit und die Abhilfe war ja halbwegs offensichtlich. Was ich damals nicht wusste, war wie leichtfertig Gigabyte diese Funktion umgesetzt hat. Dies haben nun die Sicherheitsexperten von Eclypsium dokumentiert.

...wird zur Sicherheitslücke

Eclypsium beobachtete ebenfalls das seltsame Verhalten der Gigabyte-Mainboards (Liste der betroffenen Hauptplatinen als PDF) und fand einen Binary-Dropper im UEFI, der an bekannte Hintertüren und Firmware-Manipulationen erinnert. Dieser verhält sich wie zuvor beschrieben und auch wenn das nicht nett oder benutzerfreundlich ist, kann man nicht von einer geheimen oder versteckten Hintertür sprechen. Diese Hintertür steht so weit offen, dass man sie für den Haupteingang halten könnte. Aber gerade hier liegt das Problem.

Gigabyte hat eine ausführbare Windows-Datei in seiner UEFI-Firmware eingebettet, welche beim Systemstart als GigabyteUpdateService.exe in den Ordner Windows\System32 geschrieben wird. Dieses Programm wird dann in der Registry von Windows als Dienst eingetragen und automatisch gestartet. Schadprogramme, die sich in einer Firmware einnisten, machen das nicht anders. Und wie ein Schädling lädt auch Gigabytes Update-Dienst weitere ausführbare Dateien aus dem Internet nach.

Man kann durchaus argumentieren, dass Gigabyte ein berechtigtes Interesse daran hat, aktualisierte Software und Firmware-Updates so schnell und unkompliziert wie möglich auf seinen Produkte zu installieren. Zudem werden hier nur Mechanismen genutzt, welche seitens UEFI und Windows ermöglicht werden. Dass auch Schadsoftware solche Mechanismen verwendet, kann und darf eine legitime Nutzung nicht verhindern. Doch bereits die Quellen, aus denen Gigabyte die ausführbaren Dateien nachlädt, werfen Fragen auf:

• http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
• https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
• https://software-nas/Swhttp/LiveUpdate4

Quelle Nummer 1 ist zwar ein Server von Gigabyte, doch das unverschlüsselte HTTP-Protokoll öffnet alle Türen und Tore für Manipulationen durch Mittelsmänner. Quelle Nummer 2 ist identisch, verwendet aber das verschlüsselte HTTPS-Protokoll. Das wäre der richtige Weg, wenn Gigabyte die Zertifikate richtig prüfen würde, was laut Eclypsium jedoch nicht geschieht. Quelle Nummer 3 verweist nicht auf eine Domain, sondern den lokalen Rechner software-nas. Eventuell ist dieser Name im Netz von Gigabyte vorhanden und es wurde vergessen, diese Abfrage aus dem Programm zu löschen.

Ein weiteres Problem besteht darin, dass sich GigabyteUpdateService.exe zwar mit einer Signatur von Gigabyte gegenüber Windows ausweist, doch den von GigabyteUpdateService.exe heruntergeladenen Programmen fehlen Signaturen und so findet auch keine Echtheitsprüfung statt. Das ist ein Traum für all jene, die sich auf Lieferkettenangriffe spezialisiert haben. Werden Gigabytes Server nochmals gehackt, können Angreifer manipulierte Soft- und Firmware ganz bequem an Millionen von Windows-PCs verteilen.