Мільйони материнських плат для ПК були продані з вірусом у прошивці

Дослідники з кібербезпеки компанії Eclypsium повідомили про виявлення вразливості у прошивці материнських плат, які продаються тайванським виробником Gigabyte. Щоразу, коли комп’ютер з ураженою материнською платою перезавантажується, код у її прошивці непомітно ініціює програму-оновлення, яка запускає на комп’ютері шкідливе ПЗ.

Хоча Eclypsium стверджує, що прихований код повинен бути нешкідливим інструментом для оновлення прошивки материнської плати, дослідники виявили, що він реалізований ненадійно. А оскільки програма-оновлювач запускається з прошивки комп’ютера, за межами операційної системи, користувачам важко її не те що видалити, а навіть виявити.

Фірма заявила, що вперше зіткнулась з аномалією у квітні 2023 року. Відтоді компанія Gigabyte визнала і розв’язала цю проблему.

«Більшість прошивок Gigabyte містять виконуваний файл Windows Native Binary, вбудований у прошивку UEFI», — розповів Джон Лукейдес, старший віцепрезидент зі стратегії Eclypsium, в інтерв'ю The Hacker News, — «Виявлений виконуваний файл Windows скидається на диск і виконується як частина процесу запуску Windows, подібно до атаки LoJack. Потім цей виконуваний файл завантажує і запускає додаткові двійкові файли за допомогою небезпечних методів. Постраждати могли понад 7 мільйонів пристроїв користувачів».

У своєму блозі Eclypsium перелічує 271 модель материнських плат Gigabyte, які, на думку дослідників, піддались вразливості. Лукейдес інформує - користувачі, які бажають дізнатися, яку материнську плату використовує їхній комп’ютер, можуть перевірити це, перейшовши в «Пуск» на Windows, а потім у розділ «Відомості про систему».

Спеціалісти впевнені - компанія Gigabyte, ймовірно, не мала жодних зловмисних чи оманливих намірів. Але, залишаючи вразливості у коді, який знаходиться під операційною системою багатьох ПК, вона все ж таки підриває рівень довіри користувачів до своїх гаджетів.

Раніше ми інформували про критичну вразливість, яку Microsoft виявила у macOS. Вон експлуатується через компонент Migration Assistant і обходить систему захисту System Integrity Protection (SIP), яка дебютувала ще в OS X El Capitan версії 2015 року.