News Gigabyte: UEFI-Schwachstelle macht Hunderte aktueller Mainboards angreifbar

[theGucky]

Wo soll die Einstellung denn zu finden sein? Im BIOS finde ich dazu nichts, und Google zeigt nur die Installation eines Programms an, welches ja nichts mit dem BIOS zu tun hat!?
Kann mir da ggf. jemand nen Hinweis geben!?

Edit: Also scheinbar ist das Ding ja nur Aktiv, wenn das APP Center als Software in Windows installiert ist. Und es für Zusatzfunktionen und Downloads genutzt wird. Also sollten die meisten doch davon überhaupt nicht betroffen sein!?
Also scheinbar wieder unnötige Panikmache?

Nein Aktiv ist es immer, solange es im Bios aktiv ist. Habe es selbst getestet und die Exe manuell gelöscht, die war nach dem nächsten Bootup wieder da.

Du gehst auf System Info, dann dort unten auf Plugin Device Info (der obere der beiden ganz unten) und dann gehst du mit ESC eine Seite zurück...doch anstatt wieder bei der System Info zu landen, landest du ganz woanders.
Und DA ist der Schalter für die App Central installieren... den dann deaktivieren...

Ich sagte ja...versteckt...

 

[konsolen/pczocker]

Betrifft das Problem nur Mainboards für PCs oder auch Gigabyte Laptops? Die haben logischerweise auch ein Mainboard aber als Software das "Gigabyte Control Center" über das BIOS Updates unter Windows laufen.

 

[Lacoi]

Als kleine Info:
Gigabyte benutzt folgende URLs die man auch ggf. blocken könnte (BIOS Update sollte man auf jeden Fall trotzdem machen).

http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
https://software-nas/Swhttp/LiveUpdate4

1. Unverschlüsselt und man kann mitm machen
2. Zertifikat wird nicht geprüft
3. lokales netzwerk Gerät.

 

[empy]

Das ist natürlich großartig, wenn Firmware einfach ungefragt irgendwelchen Kram von irgendwo runterlädt und überhaupt hat eine Firmware meiner Meinung nach nicht wirklich was im Dateisystem des Nutzers verloren. Ein Opt-In wäre hier das Mindeste gewesen. Ich bin scheinbar nicht betroffen, bin aber bei der Suche immerhin über die Option gestolpert, mit der man die blendend grellen LEDs an der ATX-Blende und die für mich immerhin nur nutzlosen auf dem Board selbst abschalten kann. Vermutlich kann das "Feature" aber eh nicht mit ext4 umgehen.

 

[ΔΣΛ]

Du gehst auf System Info, dann dort unten auf Plugin Device Info (der obere der beiden ganz unten) und dann gehst du mit ESC eine Seite zurück...doch anstatt wieder bei der System Info zu landen, landest du ganz woanders.
Und DA ist der Schalter für die App Central installieren... den dann deaktivieren...

Ist bei mir nicht so, ich kanns nicht finden.
Gibts auch andere Wege?

 

[PCGH_Torsten]

Das ohne hat die ursächliche Funktion nicht, dementsprechend ist es wohl von dieser Schwachstelle nicht betroffen.

Im Text steht ja "Die einzige Voraussetzung dafür, dass die Sicherheitslücke aktiv ist, ist die Aktivierung der UEFI-Einstellung "APP Center Download & Install" ". Diese Funktion ist mir im UEFI aber noch nie über den Weg gelaufen.

Die Funktion ist zum Teil an komischen Stellen versteckt. Beim Z790 Gaming X (bei dem das Teil verbuggt ist und nach jedem System-Boot nervt, siehe kommende PCGH 07/2023) habe ich sie zum Beispiel unter Settings\IO Ports\ gefunden. Da sucht man bestimmt als erstes... . Auch kann so etwas nachträglich mit neuen UEFIs hinzugefügt werden. Ich beobachte diese Nerv-Geschichten seitdem Asus sie eingeführt hat, aber für Gigabyte ist sie mir im letzten AM4-Round-Up in der 03/2021 noch nicht aufgefallen, sondern erstmals bei den ersten Z590-Platinen eine Ausgabe später. Es ist also anzunehmen, dass alle AM4-Boards zur Vorstellung clean waren und das Feature erst nachträglich hinzu kam.

Ich schätze mal, dass zo ziemlich alle Mainboardhersteller ein Windowsbasiertes Updatetool haben - hier das "Gigabyte App Center" (oder z.B. bei MSI das "Live Update 6, ASUS-MyAsus etc.) eine Backdoor im UEFI einbauen müssen um der App den Zugriff zu gewähren...das diese nun bei Gigabyte ne Schwachstelle hat ,ist natürlich ärgerlich und muss behoben werden. Allerdings funktioniert das Biosupdate via AppCenter bei den von mir verbauten Gigabyteboards (2 Stück B360DS3H , 1xB450 und 1xB550) sowieso nicht, so das man auf diese Software auch verzichten kann.

Die eigentlichen Tools sind nicht das Problem. Sondern ein automatischer Installer für selbige, der aus dem UEFI heraus in Windows 10 und 11 reingedrückt wird. Dieser verfügt selbst über keine Sicherheitsmechanismen, die sicherstellen würden, dass die nachgeladenen Installationsdateien aus einer vertrauenswürdigen Quelle stammen. Wenn Gigabyte nicht als alternative Schutzmethode eine Signierung der Installationsdateien implementiert hat (dazu machen die Forscher keine Aussage, es wäre aber eigentlich sogar der bessere Schutzmechanismus), kann also theoretisch jede beliebige Datei auf diesem Wege ausgeführt werden.

Allerdings nicht automatisch, was die Gefahr der ganzen Sache deutlich mindert:
- Man braucht ein UEFI, in dem die ungeschützten Download-Adressen hinterlegt sind
- Man muss die Option auf Default/aktiv lassen
- Man muss Windows 10 oder Windows 11 booten
- Man muss in dem dann automatisch eingeblendeten Installations-Pop-Up der Installation zustimmen
- Es muss sich ein Angreifer im eigenen Netzwerk oder als Man-in-the-middle in der eigenen Internetleitung befinden
- Dieser Angreifer muss Anfragen an die von Gigabyte hinterlegten URLs abfangen und auf eigene Dateien umleiten
(- Die vom Angreifer so injizierten Dateien müssen gegebenenfalls weitere Sicherheitsprüfungen bestehen.)

Erst wenn all diese Anforderungen erfüllt sind, hat man Schad-Code auf dem Rechner.

 

[Drumonymus]

Die Funktion ist zum Teil an komischen Stellen versteckt. Beim Z790 Gaming X (bei dem das Teil verbuggt ist und nach jedem System-Boot nervt, siehe kommende PCGH 07/2023) habe ich sie zum Beispiel unter Settings\IO Ports\ gefunden.

Da war sie bei meinem B550 Gaming X V2 auch, danke für den Hinweis!

 

[Elthy]

Danke euch für die Hinweise. Wir sind da gerade bei der Recherche.

Aktuell sieht es danach aus, als sei die Liste der Forscher nicht ganz vollständig und es könnte noch ein paar Modelle mehr betroffen sein.

Liebe Grüße Sven

Alerdings kann ich bei mir die erwähnten Optionen im Bios nicht finden (hab das neuste vom Februar drauf). Kann also sein das meins wirklich nicht betroffen ist...

 

[Incredible Alk]

- Man muss in dem dann automatisch eingeblendeten Installations-Pop-Up der Installation zustimmen

Ah gut ok wenn das so ist bin ich auf jeden Fall safe.
Wenn so ne Frage käme wäre meine erste Reaktion zu suchen was das soll und wo ich den Mist abschalten kann statt zuzustimmen

 

[slasher]

Du gehst auf System Info, dann dort unten auf Plugin Device Info (der obere der beiden ganz unten) und dann gehst du mit ESC eine Seite zurück...doch anstatt wieder bei der System Info zu landen, landest du ganz woanders.
Und DA ist der Schalter für die App Central installieren... den dann deaktivieren...

Also, ja, gefunden über deine Beschreibung habe ich dieses "Untermenü". (Wer kommt denn bitte auf sowas!?) Aber der besagte Eintrag ist dort nicht vorhanden.
Kann es ggf. sein, dass das Programm vorher schonmal installiert werden musste?

 

[Cosmas]

Mein X570 Pro ohne irgendwelche Zusätze ist, mangels entsprechender Funktion die eh deaktiviert worden wäre, auch nicht betroffen.
Mal wieder Glück gehabt, wobei ich Appcenter ohnehin nicht installiere, weder über BIOS noch so.

 

[Zanza]

X570S AORUS MASTER ist dabei aber X570 AORUS MASTER nicht. Besitze beide Boards. Mal sehen ob ich es beim X570S im UEFI die Option finde.

 

[schmiefel]

Du gehst auf System Info, dann dort unten auf Plugin Device Info (der obere der beiden ganz unten) und dann gehst du mit ESC eine Seite zurück...doch anstatt wieder bei der System Info zu landen, landest du ganz woanders.
Und DA ist der Schalter für die App Central installieren... den dann deaktivieren...

Ich sagte ja...versteckt...

Danke für den Tipp - das haben die wirklich "sauber" versteckt. Bei meiner ersten Suche rauf und runter im BIOS meines Z690 Aorus Xtreme konnte ich nämlich erst keinen Eintrag finden, der auf diese "Funktion" hindeutet, obwohl das Brett auch in der Liste betroffener MBs steht.
Ich hatte das Gigabyte-Board mal nach 'nem Systemumbau von einem Freund geschenkt bekommen, sonst hätte ich mir so etwas nie selbst gekauft. Bin seit Jahren von der Marke an sich kuriert (das letzte war noch ein X48-Teil). Und so etwas, wie das jetzt, bestätigt mich darin, um solche Hersteller besser einen großen Bogen zu machen. Und es ist ja nicht nur das BIOS, das schlecht designed und ein "Verhau" ist. Allein der verbaute RGB-Krempel lässt sich bis heute nicht richtig per Software ansteuern, geschweige denn funktioniert mit anderen RGB-Sachen harmonisch bzw. teils gar nicht- nicht, dass mir persönlich so etwas überhaupt wichtig wäre, aber da das auf diesem ehemals sünd-teuren Teil vorhanden war, wollte ich damit auch mal herumspielen ... war auch eine Lehrstunde und Lehrgeld. Und diese Gigabyte Control Center genannte Software ist tatsächlich noch mieser programmiert als das MSI-Pendent - und ich dachte schlechter geht nicht mehr - vielleicht sollte bei Hardware-Tests mal da auch ein deutlicheres Augenmerk darauf gelegt werden, was so die einzelnen Hersteller um ihre Hardware herum und darauf an Software zusammen pfriemeln, die bestenfalls gar nicht richtig funktioniert bzw. im schlechtesten Fall wie hier eher ein Risiko darstellt...

 

[theGucky]

Allein der verbaute RGB-Krempel lässt sich bis heute nicht richtig per Software ansteuern,

Apopro RGB... Weiß einer wie ich bei meinem Gigabyte Board das RGB auf der Rückseite ausschalte?

 

[PCGH_Torsten]

Danke für den Tipp - das haben die wirklich "sauber" versteckt. Bei meiner ersten Suche rauf und runter im BIOS meines Z690 Aorus Xtreme konnte ich nämlich erst keinen Eintrag finden, der auf diese "Funktion" hindeutet, obwohl das Brett auch in der Liste betroffener MBs steht.
Ich hatte das Gigabyte-Board mal nach 'nem Systemumbau von einem Freund geschenkt bekommen, sonst hätte ich mir so etwas nie selbst gekauft. Bin seit Jahren von der Marke an sich kuriert (das letzte war noch ein X48-Teil). Und so etwas, wie das jetzt, bestätigt mich darin, um solche Hersteller besser einen großen Bogen zu machen. Und es ist ja nicht nur das BIOS, das schlecht designed und ein "Verhau" ist. Allein der verbaute RGB-Krempel lässt sich bis heute nicht richtig per Software ansteuern, geschweige denn funktioniert mit anderen RGB-Sachen harmonisch bzw. teils gar nicht- nicht, dass mir persönlich so etwas überhaupt wichtig wäre, aber da das auf diesem ehemals sünd-teuren Teil vorhanden war, wollte ich damit auch mal herumspielen ... war auch eine Lehrstunde und Lehrgeld. Und diese Gigabyte Control Center genannte Software ist tatsächlich noch mieser programmiert als das MSI-Pendent - und ich dachte schlechter geht nicht mehr - vielleicht sollte bei Hardware-Tests mal da auch ein deutlicheres Augenmerk darauf gelegt werden, was so die einzelnen Hersteller um ihre Hardware herum und darauf an Software zusammen pfriemeln, die bestenfalls gar nicht richtig funktioniert bzw. im schlechtesten Fall wie hier eher ein Risiko darstellt...

Da die Tools bei jedem Hersteller immer wieder Ärger bereiten und sich ihr Funktionsumfang (sowohl der beabsichtigte als auch der funktionierende^^) zu rasch ändern, lege ich da bei Mainboard-Tests gar kein Augenmerk drauf. Entweder ein Hersteller schafft es, eine bestimmte Funktion sauber im UEFI zu implementieren oder diese Funktion gilt als nicht vorhanden. (z.B.: Lüftersteuerung bei den alten ECS-NZXTs, PP-Kontrolle bei EVGA) Wäre ja noch schöner, wenn man Windows-Hintergrundanwendungen als Hardware-Funktionatlität zählen würde.^^

Apopro RGB... Weiß einer wie ich bei meinem Gigabyte Board das RGB auf der Rückseite ausschalte?

Nur Rückseite oder auch Rückseite? Für letzteres: Settings\Miceallaneous\"LEDs in System Power On State" sollte für Dunkelheit sorgen. Notfalls Settings\Platform Power\"ErP" als Kill-All-Switch für unnötige Stromverbraucher nutzen. Bezüglich selektive Steuerung einzelner LEDs kann ich gerade nicht weiterhelfen. Ich glaube, auch dafür müsste es eine UEFI-Option geben, aber ich habe gerade nur ein A620-Board aufgebaut; das ist von Natur aus ziemlich dunkel.