قالت شركة Eclypsium إنها اكتشفت هذا الشذوذ لأول مرة في أبريل 2023 ، وأقرت شركة جيجابايت الرائدة في تصنيع أجهزة الحواسيب و اللوحات الأم بالمشكلة وبدأت بمعالجتها.
تشتمل معظم برامج جيجابايت الثابتة على برنامج Windows Native Binary قابل للتنفيذ مضمن داخل برنامج UEFI الثابت.
يتم إسقاط الملف القابل للتنفيذ الذي تم اكتشافه على القرص ويتم تنفيذه كجزء من عملية بدء تشغيل ويندوز ، على غرار هجوم LoJack double agent . يقوم هذا الملف القابل للتنفيذ بعد ذلك بتنزيل وتشغيل ثنائيات إضافية عبر طرق غير آمنة.
يتم تضمين الملف القابل للتنفيذ ، في برنامج UEFI الثابت ومكتوبًا على القرص بواسطة البرامج الثابتة كجزء من عملية تمهيد النظام ويتم إطلاقه لاحقًا كخدمة تحديث.
ويتم تكوين التطبيق المستند إلى .NET لتنزيل وتنفيذ حمولة من خوادم تحديث جيجابايت عبر بروتوكول نقل النص المتشعب HTTP ، وبالتالي تعريض العملية لهجمات (AitM) عبر جهاز توجيه مخترق.
نظرًا لأن رموز UEFI موجود على اللوحة الأم ، يمكن أن تستمر البرامج الضارة التي يتم حقنها في البرنامج الثابت حتى إذا تم مسح محركات الأقراص وإعادة تثبيت نظام التشغيل ، المشكلة قد تؤثر على حوالي 364 نظام من جيجابايت على أكثر من 7 ملايين جهاز.
ينصح بتطبيق آخر تحديثات البرامج الثابتة لتقليل المخاطر المحتملة ، وكذلك بفحص وتعطيل ميزة "APP Center Download & Install" في إعداد UEFI / BIOS وتعيين كلمة مرور نظام الإدخال والإخراج الأساسي BIOS.
المصدر: هكر نيوز بالعربية