기가바이트는 자사 메인보드에서 사용할 수 있는 App Center라는 유틸리티 프로그램을 배포하고 있습니다.

 

그런데 많은 기가바이트 메인보드의 BIOS에 "APP Center Download & Install" 이라는 옵션이 있다는 사실을 알고 계신가요?

 

 

이 옵션이 활성화되면 Windows 부팅 후 앱센터 설치 안내 메시지가 출력됩니다.

 

 

하지만 잘 생각해보면 신기하죠. 어떻게 운영체제를 아무것도 건드리지 않았는데 앱센터 설치 메시지가 뜰 수 있는 걸까요?

 

그 비법(?)이 최근 보안 업체 eclypsium에 의해 발견되었습니다.

 

이 옵션이 활성화되면, UEFI 부팅 프로세스 중 DXE 페이즈에서, UEFI 모듈 "WpbtDxe.efi"가 실행되면서, UEFI 펌웨어에 내장된 실행 파일을 WPBT ACPI 테이블에 삽입합니다.

 

이후 Windows의 세션 관리자 서브시스템 (smss)가 해당 테이블을 읽으면, 이 파일을 system32 폴더에 GigabyteUpdateService.exe라는 이름으로 저장하고, 레지스트리를 수정하여 해당 파일을 서비스로 등록합니다.

 

GigabyteUpdateService.exe는 이후 다음 URL에 접속하여 추가 실행파일을 다운로드받아 실행시킵니다.

• http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
• https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
• https://software-nas/Swhttp/LiveUpdate4

그러면 이제 윈도우에 앱센터 팝업이 뜨게 됩니다.

 

 

어디서 많이 본 것 같다면, UEFI 백도어들이 딱 이런 식으로 동작합니다*.

 

 

문제는 이 앱센터 다운로더가 보안에 대한 고려를 전혀 하고 있지 않고 있다는 것입니다.

eclypsium에서는 다음과 같은 문제점을 지적합니다.

1. 페이로드 다운로드 URL이 HTTP로도 되어 있어 MITM 공격에 취약하고,
2. HTTPS 연결을 사용하더라도 페이로드 다운로드 시 서버 인증서를 검증하는 옵션이 꺼져 있어 역시 MITM 공격에 취약하며,
3. 다운로드된 실행파일의 전자인증서를 검증하는 절차도 없습니다.

 

eclypsium은 사용하는 인터넷 회선이 (악성 와이파이 등) MITM 내지는 DNS 하이재킹을 당하거나, 기가바이트의 웹서버가 털린다면, 해당 기능이 앱센터 다운로더가 아니라 백도어 다운로더가 될 수 있다는 점을 지적했습니다. 또 이런 방식의 업데이터 설치가 보편화되면, 해당 업데이터로 위장한 UEFI 루트킷 등이 새롭게 등장할 가능성을 경계하기도 했습니다.

 

해당 기능이 탑재된 기가바이트 메인보드의 목록은 여기에서 확인할 수 있습니다..

 

해당 기능이 탑재된 메인보드를 사용하는 경우, eclypsium에서는 BIOS에서 APP Center Download & Install 옵션을 끌 것을 당부했습니다.