Re: [情報] 出事了炸G 高達271款主板BIOS有後門漏洞

comipa 發表於 2023/6/1 下午1:52:59

看板PC_Shopping標題Re: [情報] 出事了炸G 高達271款主板BIOS有後門漏洞作者

(綾崎若菜家御用)時間Jun 1 13:52:59 2023推噓16 推:16 噓:0 →:4

※ 引述《oppoR20 (發情豹紋)》之銘言：

: 網絡安全公司Eclypsium在炸G BIOS發現了一個後門這後門影響高達271個型號的主板: 最舊到B360/B450 最新到Z790/X670E都有
: https://i.imgur.com/2v3Ryr2.png

: 這個漏洞是BIOS中那個APP Center下載的那個選項造成的漏洞
: 在你新安裝Windows的時候都會自動跳出一個選項問你要不要裝軟體就是那個

: 而炸G的BIOS漏洞源自於每次重開機的時候 BIOS會啟動一個更新程式聯網檢查和下載最新: 版的BIOS
: Eclypsium發現炸G的過程是不安全的有心人市可利用漏洞安裝惡意軟體
: 最重要的是因為它是寫在BIOS內的所以使用者無法輕易刪除

: 目前想要防止這措施就是BIOS內先關閉APP Center下載與安裝的功能
: 正在開發解決該漏洞的BIOS當中你各位先關這功能阿
: 好家在的是這功能沒啥洨用關了也沒差
這功能..恩歷史共業?
這次應該是指技嘉的程式不安全但這程式哪裡來的? 為什麼可以自動被執行?

這就要扯到微軟
https://www.ithome.com.tw/news/146919
這是好一陣子之前的一個漏洞裡面提到 Windows Platform Binary Table（WPBT）
WPBT本身其實是在你的ACPI table的一部分, Windows會去看這個table.
而這個table的內容本身其實就是一個執行檔的binary code.

也就是微軟在某些條件下允許bios/UEFI廠商在這邊植入一個可執行的Windows程式
而且在某些條件下會自動去執行他, 跟病毒有87%像..

當然ithome也有提到當初這個設計本身是需要做cert check的所以本來沒有那麼容易
被利用. 不過畢竟還是開了一個後門雖然這後門有上鎖...鑰匙有沒有被偷是另外一回事

不過這次算是技嘉是合法使用WPBT的, 但是塞進去的程式在安全性上考慮不周..
算是第二層的問題. 另外WPBT沒有好方法可以幹掉, 要嘛就是bios廠商本身要提供開關
不然就是類似uefi chain loader可以先幫你把WPBT幹掉再去執行Windows boot loader
這種東西在github可以找到..

另外因為他叫Windows Platform Binary Table..所以只有Windows會拿來執行 :D

※ PTT 留言評論

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.36.200.73 (臺灣)

※ PTT 網址

※ 編輯: comipa (114.36.200.73 臺灣), 06/01/2023 13:54:13

推

oppoR2006/01 13:55推

推

autoupdate06/01 14:042021就被提出來2022還不修，那就是廠商的問題

推

ceming06/01 14:16G高達

推