นักวิจัยด้านความปลอดภัยทางไซเบอร์พบ “พฤติกรรมที่เหมือนมีประตูหลัง (backdoor)” ภายในระบบของ Gigabyte ที่ส่งผลให้เฟิร์มแวร์ UEFI ของอุปกรณ์เหล่านี้ปล่อยไฟล์ที่รันการทำงานบนวินโดวส์และการอัปเดตในรูปแบบที่ไม่ปลอดภัยได้
โดยบริษัทด้านความปลอดภัยเฟิร์มแวร์ Eclypsium กล่าวว่าตรวจพบความผิดปกตินี้ตั้งแต่เมษายนที่ผ่านมา และแจ้ง Gigabyte ตั้งแต่ตอนนั้น ซึ่ง John Loucaides รองประธานอาวุโสด้านยุทธศาสตร์ของ Eclypsium ให้สัมภาษณ์ว่า
“เฟิร์มแวร์ของ Gigabyte ส่วนใหญ่ได้รวมเอาไฟล์ไบนารีที่รันบนวินโดวส์แบบนาทีฟได้เข้ามาด้วย ซึ่งไฟล์ Executable นี้จะปล่อยออกมาที่ดิสก์เพื่อรันในฐานะส่วนหนึ่งของการสตาร์ทวินโดวส์ ซึ่งคล้ายกับการโจมตีแบบดับเบิลเอเจนต์ของ LoJack”
“ประเด็นคือมีแค่ผู้ผลิตหรือผู้เขียนไฟล์นี้เท่านั้นที่บอกได้ว่าเป็นไฟล์ที่เป็นช่องโหว่ธรรมดา หรือเป็นมัลแวร์แบ๊กดอร์ที่เป็นอันตรายแต่แรก” สำหรับไฟล์นี้ถูกรันในรูปของอัพเดทเซอร์วิส เป็นแอพที่ทำงานบน .NET ตั้งค่าให้ดาวน์โหลดและรันข้อมูลจากเซิร์ฟเวอร์อัพเดทของ Gigabyte ส่งเข้ามาผ่าน HTTP ธรรมดา กระทบกับระบบ Gigabyte กว่า 364 ระบบรวมทั้งสิ้นคิดเป็นราวๆ เกือบ 7 ล้านเครื่อง
อ่านเพิ่มเติมที่นี่ – THN