Werbung
AVMs güstiger DSL-Router mit Wi-Fi 6: FRITZ!Box 7530 AX (Modell für Deutschland)


 

Gigabytes Hintertür - Sicherheitslücke im UEFI (BIOS) vieler Mainboards ‐ Seite 2/2

veröffentlicht von doelf am 01.06.2023 - UPDATE: 07.06.2023

Wie man seinen PC absichert

Beim Gigabyte B450M S2H, welches ich auf einigen Systemen einsetze, brachte die immer noch aktuelle UEFI-Version F64a vom 9. Februar 2023 nicht nur AMDs AGESA V2 1.2.0.8, sondern auch besagte Update-Funktion. Idealerweise hat man das Gigabyte App Center nicht installiert, sondern die Installation abgebrochen. Wer sich zur Installation hatte hinreißen lassen, muss die Software zunächst deinstallieren. Doch damit ist es nicht getan: Um das Problem endgültig zu beheben, muss man ins UEFI und unter Peripherals die Standard-Einstellung für die Option APP Center Download & Install von Enabled auf Disabled ändern. Bei der UEFI-Version F64a des Gigabyte B450M S2H ist diese Option standardmäßig aktiviert.

Standardmäßig aktiviert
Fotostrecke mit weiteren und größeren Fotos...

Erst wenn dies geschehen ist, können wir Windows bereinigen. Dazu starten wir Windows und öffnen den Ordner Windows\System32. Hier finden sich zwei ausführbare Dateien, die zu löschen sind. Es handelt sich um GigabyteUpdateService.exe und GigabyteDownloadAssistant.exe. Zum Löschen dieser Programme benötigt man Admin-Rechte!

Die Programme muss man von Hand löschen
Fotostrecke mit weiteren und größeren Fotos...

Wer diese Dateien gleich nach dem Abbruch der Installation löschen möchte, wird feststellen, dass sich GigabyteUpdateService.exe nicht beendet, sondern im Hintergrund weiterläuft. Erst nachdem das Programm über den Taskmanager beendet wurde, ist das Löschen der beiden Dateien nach einigen Sekunden möglich.

Auch ohne App-Center bleibt der Dienst aktiv
Fotostrecke mit weiteren und größeren Fotos...

Auch wenn man die Installation des Gigabyte App Center abgebrochen und dabei den Haken bei Do not show this message again gesetzt hatte, werden GigabyteUpdateService.exe und GigabyteDownloadAssistant.exe bei jedem Neustart von Windows neu angelegt und der Update-Service wird im Hintergrund auch ausgeführt. Nur wenn man zuvor die UEFI-Einstellung geändert hat, ist der Spuk auch wirklich vorbei. Zumindest bis zum nächsten UEFI-Update.

Fazit

Die Art und Weise, in der Gigabyte seine Kunden mit dem Gigabyte App Center beglücken will, empfinden wir als übergriffig. Dass die konkrete Umsetzung dann derart schlampig und unsicher geraten ist, grenzt schon an Verantwortungslosigkeit. Eine schnellere Verteilung von wichtigen Updates ist zwar wünschenswert, doch sie birgt auch Gefahren. Das sollte Gigabyte eigentlich wissen, schließlich wurden erst vor einem Jahr UEFI-Firmware-Versionen mit dem Rootkit CosmicStrand entdeckt, die auch für Hauptplatinen des taiwanischen Herstellers gedacht waren. Und vor knapp zwei Jahren wurde Gigabyte gehackt, ein Vorfall, bei dem die Angreifer auch Quellcode erbeutet hatten.

Wie kann es da sein, dass Gigabyte im Jahr 2023 eine Funktion implementiert, die ausführbare Dateien und Firmware über eine unverschlüsselte HTTP-Verbindung nachlädt? Wie kann es sein, dass beim alternativen HTTPS-Zugriff die Zertifikatprüfung nicht korrekt funktioniert? Und warum wurden auf Signaturen verzichtet, mit denen man zumindest die Echtheit der heruntergeladenen Dateien hätte prüfen können?

UPDATE: Test der korrigierten UEFI-Versionen

Gigabyte hatte die beschriebenen Probleme umgehend in einer Stellungnahme bestätigt und damit begonnen, UEFI-Updates für die betroffenen Mainboards bereitzustellen. Wir haben die Änderungen anhand der UEFI-Version F64d für das B450M-S2H untersucht. Dieses wurde mit dem Hinweis Addresses download assistant vulnerabilities reported by Eclypsium Research versehen, so dass sich die abgesicherten Versionen leicht erkennen lassen.

  • Beim ersten Windows-Start nach dem UEFI-Update öffnet sich standardmäßig die Anfrage zur Installation des App Centers (unverändert).
  • Die Programme GigabyteDownloadAssistant.exe und GigabyteUpdateService.exe werden im Ordner Windows\System32 erstellt (unverändert).
  • GigabyteUpdateService.exe wird als Dienst angemeldet (unverändert).
  • Wird die Installation abgelehnt, läuft GigabyteUpdateService.exe als Dienst weiter (unverändert).
  • Erst nachdem im UEFI die Option APP Center Download & Install deaktiviert wurde, ist der Spuk vorbei (unverändert).

Tatsächlich hält Gigabyte am Dropper-Verhalten seines Update-Dienstes fest und hat lediglich die aus dem UEFI kopierten Programme gehärtet:

  • Signaturprüfung: Bei Dateien, die der Update-Dienst von entfernten Servern herunterlädt, wird nun eine Signaturprüfung durchgeführt. Damit wird verhindert, dass beliebige Dateien ausgeführt bzw. Updates eingespielt werden, selbst wenn diese von einem Gigabyte-Server stammen.
  • Zertifikatprüfung: Es wurde eine Zertifikatprüfung für die entfernten Server aktiviert. Damit verhindert Gigabyte, dass bei einem Mittelsmannangriff fremde Server eingeschleust werden, die sich ohne eine solche Prüfung als reguläre Download-Quelle ausgeben können.

Wer Gigabytes Update-Künsten nicht vertraut, muss somit auch weiterhin die obige Anleitung befolgen und die Option APP Center Download & Install im UEFI abschalten sowie die beiden Programmdateien aus dem System32-Verzeichnis löschen.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]