기가바이트는 자사 메인보드에서 사용할 수 있는 App Center라는 유틸리티 프로그램을 배포하고 있습니다.
그런데 많은 기가바이트 메인보드의 BIOS에 "APP Center Download & Install" 이라는 옵션이 있다는 사실을 알고 계신가요?
이 옵션이 활성화되면 Windows 부팅 후 앱센터 설치 안내 메시지가 출력됩니다.
하지만 잘 생각해보면 신기하죠. 어떻게 운영체제를 아무것도 건드리지 않았는데 앱센터 설치 메시지가 뜰 수 있는 걸까요?
그 비법(?)이 최근 보안 업체 eclypsium에 의해 발견되었습니다.
이 옵션이 활성화되면, UEFI 부팅 프로세스 중 DXE 페이즈에서, UEFI 모듈 "WpbtDxe.efi"가 실행되면서, UEFI 펌웨어에 내장된 실행 파일을 WPBT ACPI 테이블에 삽입합니다.
이후 Windows의 세션 관리자 서브시스템 (smss)가 해당 테이블을 읽으면, 이 파일을 system32 폴더에 GigabyteUpdateService.exe라는 이름으로 저장하고, 레지스트리를 수정하여 해당 파일을 서비스로 등록합니다.
GigabyteUpdateService.exe는 이후 다음 URL에 접속하여 추가 실행파일을 다운로드받아 실행시킵니다.
- http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://software-nas/Swhttp/LiveUpdate4
그러면 이제 윈도우에 앱센터 팝업이 뜨게 됩니다.
어디서 많이 본 것 같다면, UEFI 백도어들이 딱 이런 식으로 동작합니다*.
* 2023-06-02 00:55 추가: 사실 이건 UEFI 백도어들이 "악용"을 하는 것이고, ACPI WPBT 테이블 자체는 메인보드/컴퓨터 OEM사가 드라이버나 도난방지 소프트웨어 같은 프로그램을 자동 설치할 수 있도록 마이크로소프트가 개발한 규격입니다. (blame microsoft)
문제는 이 앱센터 다운로더가 보안에 대한 고려를 전혀 하고 있지 않고 있다는 것입니다.
eclypsium에서는 다음과 같은 문제점을 지적합니다.
- 페이로드 다운로드 URL이 HTTP로도 되어 있어 MITM 공격에 취약하고,
- HTTPS 연결을 사용하더라도 페이로드 다운로드 시 서버 인증서를 검증하는 옵션이 꺼져 있어 역시 MITM 공격에 취약하며,
- 다운로드된 실행파일의 전자인증서를 검증하는 절차도 없습니다.
eclypsium은 사용하는 인터넷 회선이 (악성 와이파이 등) MITM 내지는 DNS 하이재킹을 당하거나, 기가바이트의 웹서버가 털린다면, 해당 기능이 앱센터 다운로더가 아니라 백도어 다운로더가 될 수 있다는 점을 지적했습니다. 또 이런 방식의 업데이터 설치가 보편화되면, 해당 업데이터로 위장한 UEFI 루트킷 등이 새롭게 등장할 가능성을 경계하기도 했습니다.
해당 기능이 탑재된 기가바이트 메인보드의 목록은 여기에서 확인할 수 있습니다..
해당 기능이 탑재된 메인보드를 사용하는 경우, eclypsium에서는 BIOS에서 APP Center Download & Install 옵션을 끌 것을 당부했습니다.