技嘉曝“类后门”安全漏洞，影响约 700 万台设备

The 类后门Hacker News 网站披露， Eclypsium 网络安全研究员发现技嘉售出的技嘉 271 款近 700 万片主板中存在”类似后门“的安全漏洞。设备的曝安 UEFI 固件中“潜伏”一个 Windows 可执行文件，并以不安全的全漏格式检索更新 ，以此触发隐藏的洞影更新程序 。Eclypsium 指出潜在攻击者可以利用这种机制，响约在用户不知情的设备情况下安装恶意程序，模板下载且后续难以检测和删除。类后门

Eclypsium 声称其在 2023 年 4 月首次检测到该异常现象 ，技嘉之后便通知技嘉，曝安该公司承认并解决了这个问题
。全漏

Eclypsium 公司战略高级副总裁 John Loucaides 在与 The 洞影Hacker News分享中表示  ，大多数技嘉固件包括一个嵌入 UEFI 固件的响约 Windows 原生二进制可执行文件，研究人员检测到的设备 Windows  可执行文件被放到磁盘上，并作为 Windows 启动过程的类后门一部分执行，类似于 LoJack 双重代理攻击 ，源码下载该可执行文件通过不安全的方法下载并运行其它二进制文件 。

值得一提的是，根据 Eclypsium 的说法，Windows  可执行文件被嵌入 UEFI 固件中 ，并作为系统启动过程的一部分由固件写入磁盘，随后作为更新服务启动。就其本身而言，源码库基于.NET 的应用程序则被配置为通过普通的 HTTP从技嘉更新服务器下载和执行有效载荷 ，从而使进程暴露于通过受损路由器进行的中间人（AitM）攻击。

Loucaides 补充说 ，该软件似乎是作为一个合法的更新应用程序，可能影响 "大约 364 个技嘉系统 ，粗略估计有 700 万台设备。

随着威胁攻击者不断寻找到不被发现或留下最小入侵痕迹的高防服务器方法 ，特权固件更新机制中的漏洞可能为隐蔽的 UEFI 引导程序和“植入物”铺平道路，这些程序可以颠覆操作系统中运行的所有安全控制 。

更糟糕的是，由于 UEFI 代码位于主板上，即使擦除驱动器并重新安装操作系统
，注入固件的服务器租用恶意软件也可能持续存在。因此， 建议用尽快应用最新的固件更新，以最大限度地降低潜在的安全风险
。此外，用户还需立刻检查并禁用 UEFI/BIOS 设置中的“APP Center 下载和安装 ”这一功能，并设置 BIOS 密码以阻止恶意更改。

文章来源 ：https://thehackernews.com/2023/05/critical-firmware-vulnerability-in.html