Hàng triệu PC có thể bị mã độc tấn công vì cửa hậu trong mainboard Gigabyte. Ảnh: Securityweek. |
Công cụ phần mềm ẩn trong firmware UEFI, được cài đặt sẵn trên bo mạch chủ (mainboard) của hãng Gigabyte từ khi xuất xưởng có thể bị biến thành cửa hậu (backdoor), dẫn lối cho hacker tấn công máy tính người dùng.
Các nhà nghiên cứu tại công ty an ninh mạng Eclypsium phát hiện cơ chế cập nhật ẩn trong firmware bo mạch chủ Gigabyte, thường được sử dụng trong máy tính để bàn chơi game và các máy tính hiệu năng cao.
Khi máy tính dùng loại mainboard Gigabyte có lỗ hổng khởi động lại, firmware sẽ tự động tạo ra chương trình cập nhật chạy ngầm, có thể tuần tự tải xuống và thực thi một phần mềm khác.
Theo Eclypsium, đoạn mã ẩn này là một công cụ vô hại, có tác dụng cập nhật firmware của bo mạch chủ. Tuy nhiên, các nhà nghiên cứu phát hiện nó được triển khai không an toàn, có khả năng bị tấn công và sử dụng để cài đặt phần mềm độc hại thay vì chương trình dự định của Gigabyte.
Phần mềm cập nhật được kích hoạt từ firmware phần cứng, hoạt động bên ngoài hệ điều hành máy tính. Do đó, người dùng rất khó xóa hoặc thậm chí phát hiện ra.
Trong bài đăng trên blog về nghiên cứu này, Eclypsium liệt kê 271 model bo mạch chủ Gigabyte được xác định nằm trong diện ảnh hưởng. Trên hệ điều hành Windows, để xác định mình đang sử dụng model nào, người dùng có thể kiểm tra bằng cách vào Start > System Information.
Ảnh chụp danh sách các mainboard Gigabyte bị ảnh hưởng theo công bố của Eclypsium. Ảnh: Eclypsium. |
Eclypsium tìm thấy cơ chế cập nhật ẩn của mainboard Gigabyte khi quét máy tính khách hàng để tìm mã độc firmware, một công cụ ngày càng phổ biến đối với giới hacker. Họ rất ngạc nhiên khi thấy công cụ quét đánh dấu cơ chế cập nhật của Gigabyte vì thực hiện một số hành vi mờ ám tương tự các mã độc - ẩn trong firmware và âm thầm cài đặt chương trình từ Internet.
Riêng việc âm thầm cập nhật bằng một công cụ gần như vô hình cũng đủ khiến người dùng lo lắng về sản phẩm phần cứng của Gigabyte. Nhưng nghiêm trọng hơn, Eclypsium phát hiện cơ chế cập nhật tồn tại lỗ hổng nghiêm trọng, có thể bị tin tặc tấn công, thay đổi nguồn giả mạo và tải về mã độc thay vì bản cập nhật của nhà sản xuất.
Eclypsium đã thông báo với Gigabyte về phát hiện này và cho biết nhà sản xuất có kế hoạch khắc phục sự cố. Tuy nhiên, công ty không bình luận gì về vụ việc khi nhận được câu hỏi của Wired.
Theo Rich Smith, Giám đốc an ninh của Crash Override, với hàng triệu thiết bị có khả năng bị ảnh hưởng, phát hiện của Eclypsium là "đáng lo ngại". Ông so sánh vụ việc này với bê bối rootkit của Sony vào giữa những năm 2000, khi tập đoàn Nhật Bản cài đặt một mã quản lý bản quyền CD ẩn trên máy tính người dùng, vô tình tạo ra lỗ hổng cho tin tặc xâm nhập.
Smith cho rằng Gigabyte có thể không nhằm mục đích xấu với công cụ firmware ẩn. Nhưng bằng cách để lại lỗ hổng bảo mật nằm bên dưới hệ điều hành của rất nhiều máy tính, hành động này làm xói mòn nghiêm trọng niềm tin người dùng.
Nhóm người săn lùng loại mã độc nguy hiểm nhất thế giới công nghệ
Trong quyển sách mới, Renee Dudley và Daniel Golden đưa độc giả đến gần hơn với cuộc chiến thầm lặng của những chuyên gia công nghệ toàn cầu, chống lại kẻ đứng sau ransomware.