![\"Update\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/06\/Update-01.jpg\" "\\"Update\\"")
[English]Besitzer eines Rechners mit einem Mainboard des Herstellers Gigabyte k\u00f6nnen nun die Firmware des Boards aktualisieren. Mit dem vom Hersteller bereitgestellten Update soll eine schwere Schwachstelle beseitigt werden. Die Schwachstelle, die in ca. 260 Mainboard-Modellen vorhanden ist, k\u00f6nnte Angreifern das Einspielen von Schadsoftware in das System erm\u00f6glicht.<\/p>\n
<\/p>\n
Firmware-Updates sind eigentlich ja nicht schlecht – aber heimlich und ohne Kontrolle des Nutzers schon problematisch. Noch problematischer wird es, dass dieser Update-Vorgang unsicher ist. Die Forscher entdeckten, dass der Update-Vorgang unsicher implementiert ist. Konkret ist es so, dass das Aktualisierungsprogramm aus dem Code der Firmware des Motherboards aufgerufen wird – Stichwort ist WPBT, eine Neuinstallation n\u00fctzt nichts. <\/p>\n Dieses Programm, so Eclysium, l\u00e4dt dann eine andere Software herunter und f\u00fchrt diese aus. Dadurch lie\u00dfe sich der Mechanismus m\u00f6glicherweise kapern und zur Installation von Malware anstelle des von Gigabyte vorgesehenen Programms verwenden. Der gesamte Ansatz der Firmware-Aktualisierung durch Gigabyte \"stinkt gewaltig\", Nutzer haben quasi keine M\u00f6glichkeit, das zu entdecken oder zu entfernen. <\/p>\n Ich hatte es in obigem Beitrag nicht angesprochen – diese Sauereien sind m\u00f6glich, weil die Hersteller WPBT als Mechanimus verwenden. Das Thema kommt hier im Blog mehrfach vor. Im 2015 hatte ich das Thema WPBT bereits im Blog-Beitrag Backdoor 'Windows Platform Binary Table' (WPBT)<\/a> angesprochen. Damals ging es um die Lenovo Service Engine, die Mist machte, aber auch eine Windows Neuinstallation \u00fcberlebt (siehe Blog-Beitrag Lenovo Service Engine (LSE) \u2013 Superfish reloaded II<\/a>) \u2013 WPBT macht dies m\u00f6glich.<\/p>\n Mit Windows 8 hat Microsoft die Basics gelegt, um ganz sch\u00f6ne Schweinereien auf Systemen zu treiben. Die Technik firmiert unter dem Namen 'Windows Platform Binary Table' (WPBT) und ist in diesem Word .docx-Dokument<\/a> detailliert beschrieben (siehe auch den Blog-Beitrag Backdoor 'Windows Platform Binary Table' (WPBT)<\/a>. <\/p>\n Mit WPBT wird die M\u00f6glichkeit geschaffen, beim Booten bereits in der BIOS-Boot-Phase (UEFI f\u00e4llt auch darunter), Code auszuf\u00fchren, um Windows-Betriebssysteme zu manipulieren. <\/p>\n So k\u00f6nnen Treiber, Updater etc. in der Boot-Phase (aus den ACPI-Tabellen des BIOS) injiziert werden. Urspr\u00fcngliche Idee war, dass OEMs die M\u00f6glichkeit haben sollten, Updates \u2013 unabh\u00e4ngig davon, ob der Anwender ein Clean Install von Windows vorgenommen hat \u2013 vorzunehmen. <\/p>\n Viele Hersteller (Lenovo, HP, Dell, Gigabyte) nutzen WPBT, um eigene Schweinereien auf den Systemen zu treiben. Der Ansatz f\u00e4llt den Leuten aber regelm\u00e4\u00dfig auf die F\u00fc\u00dfe und es wird eine Sicherheitsl\u00fccke aufgerissen. Dies ist in obigem Gigabyte-Fall ebenfalls aufgetreten. <\/p>\n Bei den Kollegen von Bleeping Computer habe ich gesehen<\/a>, dass Gigabyte zum 1. Juni 2023 auf die oben erw\u00e4hnte Schwachstelle mit einem Firmware-Update reagiert hat. In dieser Pressemitteilung<\/a> hei\u00dft es, dass nun strengere Sicherheitspr\u00fcfungen w\u00e4hrend des Bootvorgangs des Betriebssystems implementiert worden seien. <\/p>\n Dazu hat GIGABYTE einen \u00dcberpr\u00fcfungsprozess f\u00fcr Dateien, die von Remote-Servern heruntergeladen werden, so verbessert, dass die Integrit\u00e4t und Legitimit\u00e4t des Inhalts sichergestellt wird. Dadurch hofft der Hersteller, alle Versuche von Angreifern, b\u00f6sartigen Code einzuf\u00fcgen, zu vereiteln. Weiterhin wird nun standardm\u00e4\u00dfige eine kryptografische \u00dcberpr\u00fcfung von Remote-Server-Zertifikaten durchgef\u00fchrt. Dies soll garantieren, dass Dateien ausschlie\u00dflich von Servern mit g\u00fcltigen und vertrauensw\u00fcrdigen Zertifikaten heruntergeladen werden. Die Updates sollten auf der offiziellen GIGABYTE-Website f\u00fcr BIOS-Updates<\/a> zu finden sein.<\/p>\n","protected":false},"excerpt":{"rendered":" [English]Besitzer eines Rechners mit einem Mainboard des Herstellers Gigabyte k\u00f6nnen nun die Firmware des Boards aktualisieren. Mit dem vom Hersteller bereitgestellten Update soll eine schwere Schwachstelle beseitigt werden. Die Schwachstelle, die in ca. 260 Mainboard-Modellen vorhanden ist, k\u00f6nnte Angreifern das … Weiterlesen Ich hatte das Thema im Blog-Beitrag Sicherheits-, Ransomware- und Datenschutzvorf\u00e4lle Mai 2023<\/a> mit erw\u00e4hnt. Sicherheitsforscher des auf Firmware spezialisierten Cybersecurity-Unternehmens Eclypsium sind in der Firmware von Motherboards des taiwanesischen Herstellers Gigabyte auf einen versteckten Mechanismus gesto\u00dfen, der die Firmware bei jedem Neustart der Platine zu aktualisieren versucht. Betroffen sind um die 260 Mainboard-Modelle.<\/p>\n
Damoklesschwert WPBT<\/h2>\n
Update soll Schwachstelle schlie\u00dfen<\/h2>\n<\/p>\n