未簽名的固件將Windows和Linux外圍設(shè)備置于危險(xiǎn)之中

固件安全公司Eclypsium的研究人員周二發(fā)布了一項(xiàng)新的研究，從聯(lián)想、戴爾、惠普和其他主要制造商那里識(shí)別和確認(rèn)Wi Fi適配器、USB集線器、用于Windows和Linux計(jì)算機(jī)和服務(wù)器產(chǎn)品的跟蹤和相機(jī)中未簽名的固件。

eclypsium還演示了通過網(wǎng)絡(luò)接口卡對服務(wù)器的成功攻擊，三大服務(wù)器制造商都使用了未簽名固件。

演示顯示一旦使用報(bào)告描述的問題感染了這些組件上的固件，暴露的攻擊向量。 任何軟件安全控制都不會(huì)發(fā)現(xiàn)惡意軟件。

未簽名固件為惡意參與者提供了多條路徑，以妥協(xié)筆記本電腦和服務(wù)器。 Eclypsium警告說，這使得數(shù)百萬的Windows和Linux系統(tǒng)面臨固件攻擊的風(fēng)險(xiǎn)，這些攻擊可能會(huì)泄露數(shù)據(jù)、破壞操作和交付贖金。

外圍設(shè)備中未簽名的固件仍然是網(wǎng)絡(luò)安全的一個(gè)高度被忽視的方面。 根據(jù)組件的功能，無符號(hào)固件可能導(dǎo)致數(shù)據(jù)、完整性和隱私的丟失。 這份名為“外圍設(shè)備：Windows和Linux計(jì)算機(jī)內(nèi)部的隱藏危險(xiǎn)”的報(bào)告指出，它還可以讓攻擊者獲得特權(quán)并隱藏傳統(tǒng)的安全控制。

TAGCyber高級(jí)分析師凱蒂？蒂特勒(Katie Teitler)表示，軟件和網(wǎng)絡(luò)漏洞往往是組織安全優(yōu)先事項(xiàng)中更明顯的焦點(diǎn)，但固件漏洞可能會(huì)使對手完全控制受損設(shè)備。

她對Linux Insider說：“這可能導(dǎo)致植入后門、網(wǎng)絡(luò)流量嗅探、數(shù)據(jù)過濾等等?！?/p>

這份“周圍環(huán)境”報(bào)告是基于Eclypsium研究小組成員進(jìn)行的原始研究。 他們包括主要研究人員里克·阿爾瑟爾、米奇·什卡托夫、杰西·邁克爾和CTO·亞歷克斯·巴扎尼克。

這項(xiàng)研究的工作始于18個(gè)多月前，并于今年2月完成。 該報(bào)告的主要研究員杰西·邁克爾說，這項(xiàng)研究是由該公司自籌資金進(jìn)行的。

邁克爾對Linux Insider說：“可以肯定地認(rèn)為，有數(shù)千萬（如果不是數(shù)億）的系統(tǒng)擁有這些特定的未簽名固件組件。

例如，每年的服務(wù)器發(fā)貨量約為1200萬臺(tái)，每年的筆記本電腦發(fā)貨量約為2億臺(tái)。 他解釋說，雖然本報(bào)告中確定的特定漏洞只影響所有已發(fā)運(yùn)系統(tǒng)的一部分，但未簽名固件組件在行業(yè)內(nèi)很普遍。

邁克爾說：“我們還沒有找到一個(gè)不包括這些組件的系統(tǒng)。

圍繞未簽名固件的問題在五年前浮出水面。 安全研究人員發(fā)現(xiàn)方程組的HDD植入物潛伏在野外。 根據(jù)Eclypsium的報(bào)告，這是一個(gè)警鐘，將計(jì)算機(jī)行業(yè)引入固件黑客攻擊的力量，以及外圍設(shè)備中未簽名固件帶來的潛在危險(xiǎn)。

近年來，在處理這個(gè)問題方面取得了一些進(jìn)展。 然而，Elypsium的研究表明，該行業(yè)的許多人仍然對未簽名固件的風(fēng)險(xiǎn)視而不見。

在執(zhí)行四個(gè)單獨(dú)的研究項(xiàng)目時(shí)，Elypsium的團(tuán)隊(duì)在Wi Fi適配器，USB集線器，trackpads和相機(jī)中在各種企業(yè)設(shè)備中發(fā)現(xiàn)了未簽名的固件.. 這些問題可能對設(shè)備的安全和操作造成破壞性影響。

“[它們]往往很難修復(fù)。 報(bào)告指出，對諸如網(wǎng)卡、驅(qū)動(dòng)器和其他外圍設(shè)備等組件的破壞可以完全禁用設(shè)備，或者為攻擊者提供竊取數(shù)據(jù)、交付贖金和隱藏安全性的方法。

新的Eclypsium研究表明，這些弱點(diǎn)在筆記本電腦和服務(wù)器的各個(gè)組件中都很普遍。 它們?yōu)閻阂夤籼峁┝硕喾N途徑。

請參閱Eclypsium的“了解自己的設(shè)備”資源，了解今天設(shè)備中一些最常見的固件支持組件的概述。

盡管以前在野生攻擊，外圍制造商一直緩慢地采取簽署固件的做法。 當(dāng)談到安全時(shí)，大多數(shù)注意力都集中在系統(tǒng)中最可見的組件上，比如操作系統(tǒng)和應(yīng)用程序。

針對日益增多的威脅，許多組織已開始在其脆弱性管理和威脅預(yù)防模型中添加固件。 然而，這些努力僅限于系統(tǒng)固件-UE FI或BIOS駐留在設(shè)備的主板上，Michael解釋說。

他說，潛伏的危險(xiǎn)被強(qiáng)調(diào)，因?yàn)橐粋€(gè)設(shè)備中幾乎每個(gè)組件都有自己的固件和自己的風(fēng)險(xiǎn)潛力。 包括網(wǎng)絡(luò)適配器、顯卡、USB設(shè)備、攝像頭、觸控板和跟蹤板等等。

“不幸的是，這一問題將持續(xù)相當(dāng)一段時(shí)間，我們很可能會(huì)看到下一代產(chǎn)品的改進(jìn)。 但這不會(huì)一下子發(fā)生。 作為一個(gè)行業(yè)，我們需要更多地關(guān)注硬件和固件安全。

一些原始設(shè)備制造商，如惠普和聯(lián)想，已經(jīng)迅速認(rèn)識(shí)到這一問題，并開始與他們的設(shè)備/部件制造商合作解決方案。 簽名固件保護(hù)通常需要在硬件以及固件中進(jìn)行更改。 為了做到這一點(diǎn)，必須在未來的設(shè)備修訂或模型中引入它們，他補(bǔ)充說。

外圍設(shè)備中的這些內(nèi)部組件由固件控制。 固件可能會(huì)燒入設(shè)備本身的集成電路.. 或者組件可能有自己的閃存，其中固件存儲(chǔ)。

在其他情況下，操作系統(tǒng)可以在啟動(dòng)時(shí)動(dòng)態(tài)提供固件。 但是，固件是存儲(chǔ)的，它可以像一個(gè)微型計(jì)算機(jī)，控制該特定組件的低級(jí)行為。 根據(jù)報(bào)告，這種代碼通常很容易受到攻擊，從筆記本電腦到服務(wù)器再到網(wǎng)絡(luò)設(shè)備都存在。

保護(hù)用戶免受未簽名固件的危險(xiǎn)需要整個(gè)行業(yè)的供應(yīng)商的工作。 原始設(shè)備制造商(OEM)和原始設(shè)計(jì)制造商(ODM)需要共同解決這些問題。

邁克爾說：“通過將這些類型的問題納入風(fēng)險(xiǎn)評(píng)估，各組織可以在知情的情況下決定哪些外圍設(shè)備和產(chǎn)品是安全的，哪些不是安全的?！?/p>

在如此長時(shí)間的廣泛使用中，減少未簽名固件造成的問題意味著不太可能很快找到一個(gè)快速的解決方案，但必須為此取得進(jìn)展。

TAGCyber的Teitler說：“不幸的是，固件漏洞可能更難發(fā)現(xiàn)，更難修補(bǔ)?！?“最佳做法是在組件一級(jí)部署漏洞和錯(cuò)誤配置的自動(dòng)掃描，并不斷監(jiān)測新的問題或漏洞。

問題是外圍設(shè)備往往缺乏我們認(rèn)為在操作系統(tǒng)和其他更可見的組件(如UE FI或BIOS)中理所當(dāng)然的安全最佳實(shí)踐，Michael指出。 具體來說，許多外圍設(shè)備在運(yùn)行代碼之前沒有驗(yàn)證固件是否正確地使用高質(zhì)量的公鑰/私鑰簽名。

這意味著這些組件沒有辦法驗(yàn)證設(shè)備加載的固件是真實(shí)的，應(yīng)該是可信的。 他警告說，攻擊者只需插入惡意或脆弱的固件映像即可，組件將盲目信任該映像并運(yùn)行該映像。

這些組件在筆記本電腦和服務(wù)器中，但通常由單個(gè)設(shè)備/組件制造商引入緩解措施。

Eclypsium首席執(zhí)行官YuriyBuygin表示，大多數(shù)組織沒有必要的成熟流程來處理這一級(jí)別的安全缺陷或分配共同漏洞和暴露(CVE)報(bào)告。

通常，老化的硬件成為問題的更大部分。 他說，由于舊的硬件設(shè)計(jì)，為現(xiàn)場產(chǎn)品提供健壯修復(fù)的技術(shù)方法是不可用的。

Buygin對Linux Insider說：“因此，我們將在未來幾年看到這些問題，改善這些問題的唯一方法是不斷發(fā)現(xiàn)漏洞，提醒公眾，幫助設(shè)備供應(yīng)商建立更好的固件安全。

eclypsium研究人員演示了如何濫用未簽名固件作為現(xiàn)實(shí)世界攻擊的一部分。

該公司的報(bào)告詳細(xì)介紹了獲得外圍組件控制權(quán)的攻擊者如何將組件的功能用于惡意目的。 攻擊者可能獲得新的權(quán)限，甚至可以控制整個(gè)系統(tǒng)。

演示顯示Eclypsium研究人員攻擊網(wǎng)絡(luò)接口卡(N IC)芯片組中的無符號(hào)固件。 對卡的惡意攻擊會(huì)對服務(wù)器產(chǎn)生深遠(yuǎn)的影響。

這反過來又損害了操作系統(tǒng)的遠(yuǎn)程功能。 它為攻擊者提供了一個(gè)遠(yuǎn)程后門，用于窺探和過濾原始網(wǎng)絡(luò)流量，同時(shí)繞過操作系統(tǒng)防火墻提取數(shù)據(jù)或交付贖金。

報(bào)告警告說，這種攻擊可能會(huì)使服務(wù)器在信號(hào)上與網(wǎng)絡(luò)斷開連接。 這可能導(dǎo)致中斷整個(gè)數(shù)據(jù)中心的連接。