Отсутствие
надлежащей проверки подписи кода и аутентификации для обновлений встроенного
программного обеспечения открывает двери для раскрытия информации, удаленного
выполнения кода, отказа в обслуживании и многого другого.
По
данным исследования Eclypsium, новые
уязвимости встроенного ПО в адаптерах Wi-Fi, USB-концентраторах, трекпадах и
камерах подвергают миллионы периферийных устройств риску целого ряда кибератак.
В
прошивках TouchPad и TrackPoint для ноутбуков Lenovo, в прошивках HP Wide Vision
FHD для ноутбуков HP и в адаптере Wi-Fi на ноутбуках Dell XPS не было
механизмов безопасного обновления прошивки с надлежащей подписью кода.
«Уязвимости
программного обеспечения и сети часто являются более очевидным приоритетом безопасности организаций, но уязвимости
встроенного программного обеспечения могут дать злоумышленникам полный контроль
над взломанным устройством», - сказала Кейти Тейтлер, старший аналитик TAG
Cyber, по электронной почте. «Это может привести к имплантированным бэкдорам,
анализу сетевого трафика, удалению данных и многому другому. Однако, к
сожалению, уязвимости прошивки может быть сложнее обнаружить и сложнее
исправить ».
Неподписанные
обновления прошивки: растущая проблема!
Прошивка
для периферийных устройств может быть записана в интегральную схему самого
устройства, или компонент может иметь собственную флэш-память, в которой
хранится прошивка. Встроенное ПО также может быть динамически предоставлено
операционной системой во время загрузки. Независимо от подхода к реализации,
встроенное программное обеспечение используется в качестве операционной системы
для конкретного устройства для рассматриваемого периферийного устройства и
может предоставить злоумышленникам богатую поверхность атаки, если она окажется
уязвимой.
«Многие
периферийные устройства не проверяют, что прошивка правильно подписана
высококачественным открытым / закрытым ключом, прежде чем запускать код», -
объясняют исследователи из Eclypsium
в исследовании уязвимостей, опубликованном во вторник. «Это означает, что эти
компоненты не могут проверить, является ли прошивка, загруженная устройством,
подлинной и заслуживающей доверия. Злоумышленник может просто вставить
вредоносный или уязвимый образ прошивки, которому компонент будет слепо
доверять и запускать ».
Таким
образом, сценарий атаки прост. Во-первых, злоумышленник получает доступ к устройству
любым способом, будь то физический доступ, вредоносное ПО, позволяющее
выполнять удаленный код и т. д., И имея базовые привилегии пользователя,
злоумышленник может записать вредоносное ПО на уязвимый компонент. Если
компонент не требует, чтобы прошивка была должным образом подписана,
загружается код злоумышленника. В зависимости от рассматриваемого периферийного
устройства это может привести к ряду вредоносных действий.
«Например,
вредоносная прошивка на сетевом адаптере может позволить злоумышленнику
перехватывать, копировать, перенаправлять или изменять трафик, что приводит к
потере данных, атаке« человек посередине » и другим атакам», - говорится в
исследовании. «Устройства на основе PCI могут обеспечивать атаки прямого доступа к памяти (DMA), которые могут легко украсть
данные или получить полный контроль над системой жертвы. Камеры можно
использовать для захвата данных из пользовательской среды, в то время как
скомпрометированный жесткий диск может позволить злоумышленнику скрыть код и
инструменты, не замеченные операционной системой ».
Кроме
того, программно-аппаратные атаки позволяют злонамеренной деятельности
пролетать под радаром защиты конечных точек; как недавно было замечено в
последних кампаниях с использованием вымогателей RobbinHood, уязвимые драйверы могут
использоваться для обхода средств защиты и обеспечения возможности вымогателей
атаковать без помех.
Джесси
Майкл, главный исследователь Eclypsium,
сказал, что виды атак, которые допускают эти ошибки, не являются
незначительными. Например, атака Black Energy, которая привела к отключению
части энергосистемы в Украине, использовала обновление прошивки без знака,
чтобы сломать адаптеры последовательного интерфейса к Ethernet, которые использовались для
управления реле.
«Подобный
инцидент произошел с Saudi
Aramco»,
- сказал он. «Это сделало систему намного труднее вернуть онлайн». Он добавил,
что атаки на программно-аппаратные средства в 7,5 раза увеличили количество
встроенных программно-аппаратных CVE по сравнению с тремя годами
ранее.
Новые
уязвимости
Исследователи
Eclypsium
проанализировали ноутбук Lenovo
ThinkPad X1
Carbon
6th
Gen,
который содержит два уязвимых механизма прошивки: прошивка для сенсорной панели
(pr2812761-tm3288-011-0808.img) и прошивка для TrackPoint (PSGупотреб_RANKA_fv06.bin).
«Мы
обнаружили, что Touchpad
и TrackPoint
используют небезопасные механизмы обновления прошивки», - говорится в
исследовании. «В частности, проверка криптографической подписи не требовалась
на уровне устройства до применения обновлений прошивки. Отсутствие контроля
позволило изменить образы встроенного программного обеспечения через
программное обеспечение для запуска произвольного вредоносного кода в этих
компонентах ».
Между
тем, обновления микропрограммного обеспечения, распространяемые HP для
FHD-камеры HP Wide Vision в ноутбуке HP Specter x360 Convertible 13-ap0xxx, не
зашифрованы и не проверяются на подлинность, отмечает Eclypsium. Средство
обновления встроенного ПО устройства состоит из средства обновления встроенного
ПО SunplusIT для Windows вместе с образом встроенного ПО, и оба имеют проблемы.
«Образ
прошивки не содержит никакой формы криптографической подписи или другой
информации о подлинности», - говорится в отчете. «Средство обновления
встроенного ПО Windows принимает файлы встроенного ПО, которые были изменены
для настройки содержимого дескриптора USB. Эту возможность изменять дескрипторы
USB можно использовать для отключения устройства или определения его как
устройства USB другого типа. Как только будут обнаружены дополнительные детали
архитектуры процессора, поведение модуля камеры может быть изменено, чтобы быть
вредоносным ».
Кроме
того, средство обновления прошивки SunplusIT может успешно обновлять устройство
даже как обычный пользователь, не требуя доступа администратора.
Исследователи
Eclypsium также обнаружили, что в прошивке адаптера Wi-Fi на ноутбуках Dell XPS
15 9560 под управлением Windows 10 есть ошибка. В то время как Windows 10
подтвердит, что драйверы подписаны правильно, проверки безопасности
прекращаются. Таким образом, если драйверы подписаны правильно, рядом с
драйвером отображается маленький значок сертификата при просмотре в диспетчере
устройств. Если они не подписаны правильно, пользователь все равно может
успешно загрузить их - значок просто исчезает. Это означает, что привилегированный
злоумышленник может легко заменить файлы драйвера.
И
наконец, исследователи также обратились к сервису встроенного ПО Linux Vendor,
который является безопасным порталом, позволяющим поставщикам оборудования
загружать обновления встроенного ПО. Анализ показал несколько небезопасных
обновлений и драйверов.
«Из
этого ресурса мы можем сосредоточиться именно на обновлениях протоколов и легко
просматривать, какие подписаны, а какие нет», - пишут исследователи. «Хотя мы
видим, что некоторые из протоколов обновления связаны с транспортом, многие
другие являются протоколами, используемыми для фактического процесса
обновления. Например, прошивка VLI USB Hub не подписана ».
Ответ
продавца
Исследователи
Eclypsium уведомили HP об уязвимости прошивки веб-камеры 4 августа, а Lenovo об
уязвимости TouchPad / TrackPoint на Lenovo 13 июня.
«Мы
ожидаем, что некоторые поставщики будут выпускать CVE, но пока ни у кого нет»,
- сказал Threatpost Джесси Майкл, главный исследователь Eclypsium. «Для этих
периферийных устройств OEM (HP и Lenovo) должны сотрудничать со своими
поставщиками для разработки исправлений. Из того, что мы видели, большинство из
этих существующих компонентов изначально были разработаны для неподписанных
прошивок, что делает их уязвимыми. Благодаря нашему взаимодействию с этими
OEM-производителями мы ожидаем, что в будущих системах будут установлены
требования к аутентификации обновления прошивки ».
Eclypsium
также сообщил о проблеме с Wi-Fi как Qualcomm, который предоставляет чипсет и
драйвер для беспроводной карты, так и Microsoft, которая проверяет, подписаны
ли такие драйверы.
«Qualcomm
ответила, что их набор микросхем подчинен процессору, и ожидается, что
программное обеспечение, работающее на процессоре, будет отвечать за проверку
прошивки», - сказал Майкл. «Они заявили, что не планируется добавлять проверку
подписи для этих чипов. Тем не менее, Microsoft ответила, что поставщик
устройства должен проверить прошивку, загруженную в устройство ». В результате
этого, скорее всего, это останется без внимания, поскольку каждый из них
перекладывает ответственность на другого.
Итог:
неподписанное микропрограммное обеспечение на периферийных устройствах остается
крайне игнорируемым аспектом кибербезопасности и предоставляет злоумышленникам
множество путей для взлома ноутбуков и серверов.
«Как
только микропрограммное обеспечение на любом из этих компонентов заражено,
вредоносное ПО остается незамеченным какими-либо средствами контроля
безопасности программного обеспечения», - сказал Майкл. «Несмотря на предыдущие
атаки « в дикой природе », производители периферийных устройств не спешат
внедрять практику подписания микропрограмм, в результате чего миллионы систем
Windows и Linux подвергаются риску атак микропрограмм, которые могут проникать
в данные, нарушать работу и доставлять вымогателей».
Предупреждение:
Вся информация представлена исключительно в образовательных целях.
Комментариев нет:
Отправить комментарий