Оффлайн
Филин
Заблокирован
- Регистрация
- 17.03.19
- Сообщения
- 366
- Реакции
- 47
- Репутация
- 0
Программные оболочки адаптеров Wi-Fi, USB-разветвителей и другой периферии, используемой в огромном количестве ноутбуков и некоторых серверах лишены средств проверки цифровой подписи, что позволяет злоумышленникам подменять ее. Это открывает массу возможностей для компрометации оборудования и кражи данных.
Перепрошить незаметно
Многочисленные периферийные компоненты, задействованные в ноутбуках и серверах крупнейших производителей, используют программные прошивки, лишенные цифровой подписи. Это открывает возможность для подмены программных оболочек и, соответственно, кибератак на основные устройства, утверждают эксперты компании Eclypsium.
Исследователи обнаружили неподписанные прошивки у адаптеров Wi-Fi, USB-разветвителей, трекпадов, встроенных веб-камер и других устройств, используемых в компьютерах Dell, HP, Lenovo и нескольких других производителей.
Тем самым уязвимыми оказываются миллионы устройств. Эти особенности уже эксплуатировались для проведения атак: например, шпионские платформы Equation Drug и GrayFish, созданные Equation Group, не позднее 2010 г. использовали средства подмены официальных прошивок поддельными. Equation Group считается детищем Агентства национальной безопасности США.
Эксперты Eclypsium установили, в частности, что тачпады и трекпады ноутбуков Lenovo Think PadX1 Carbon 6thGen лишены средств проверки криптографической подписи. Программные оболочки камеры HP Wide Vision FHD в гибридных ноутбуках HP Spectrex360 Convertible 13-apoxxx не проверяют аутентичность обновления прошивок (которые еще и распространяются в незашифрованном виде). Беспроводной адаптер Wi-Fi в Dell XPS 15 9560 принимает модифицированные прошивки без всяких проблем, несмотря на проверки цифровых подписей со стороны Windows 10. Прошивки USB-разветвителей VLI под Linux лишены цифровой подписи полностью.
По мнению экспертов Eclypsium, аналогичные проблемы могут распространяться на разработки и других производителей.
Кто виноват, и ничего не сделать
При этом в Lenovo признали, что в нынешнем поколении продуктов нет средств для исправления проблемы. В HP признали, что они работают над обновлением прошивок, и что в будущем камеры будут обязательно снабжены цифровыми подписями.
Что же касается Dell, то здесь разработчик аппаратной составляющей проблемного адаптера и драйвера, корпорация Qualcomm утверждает, что следить за наличием адекватной подписи драйвера и прошивок должна корпорация Microsoft, и что сам Qualcomm не планирует оснащать свои чипы средствами проверки.
В Microsoft, наоборот, кивают на Qualcomm: мол, это дело производителя чипов и драйверов к ним.
Между тем, в Eclypsium продемонстрировали успешную атаку на сервер, оснащенный платой сетевого интерфейса на базе чипсета BroadcomBCM5719. Эти платы используются в многочисленных серверах разных производителей. Их программные оболочки лишены цифровой подписи и при обновлении прошивок с текущего хоста их проверки не осуществляется. Специалистам удалось загрузить модифицированную ими версию программной прошивки в плату сетевого интерфейса (NIC) «в системе, где контроллер управления материнской платой (BMC) настроен на совместное использование NIC с хостом». В результате у экспертов появилась возможность анализировать содержимое сетевых пакетов, идущих через BMC. Вредоносное ПО может использовать те же возможности для слежки или подмены BMC-трафика в режиме реального времени.
Исправлению не подлежит
В отличие от macOS, где все установочные пакеты и прошивки проверяются при каждой загрузке, Windows и Linux проверяют цифровые подписи только после того как производится первичная установка прошивок и драйверов. Эксперты Eclypsiumотмечают, что если у аппаратного компонента изначально нет функций проверки цифровой подписи, обновления прошивки не поможет, и устройство останется уязвимым весь срок службы.
Перепрошить незаметно
Многочисленные периферийные компоненты, задействованные в ноутбуках и серверах крупнейших производителей, используют программные прошивки, лишенные цифровой подписи. Это открывает возможность для подмены программных оболочек и, соответственно, кибератак на основные устройства, утверждают эксперты компании Eclypsium.
Исследователи обнаружили неподписанные прошивки у адаптеров Wi-Fi, USB-разветвителей, трекпадов, встроенных веб-камер и других устройств, используемых в компьютерах Dell, HP, Lenovo и нескольких других производителей.
Тем самым уязвимыми оказываются миллионы устройств. Эти особенности уже эксплуатировались для проведения атак: например, шпионские платформы Equation Drug и GrayFish, созданные Equation Group, не позднее 2010 г. использовали средства подмены официальных прошивок поддельными. Equation Group считается детищем Агентства национальной безопасности США.
Эксперты Eclypsium установили, в частности, что тачпады и трекпады ноутбуков Lenovo Think PadX1 Carbon 6thGen лишены средств проверки криптографической подписи. Программные оболочки камеры HP Wide Vision FHD в гибридных ноутбуках HP Spectrex360 Convertible 13-apoxxx не проверяют аутентичность обновления прошивок (которые еще и распространяются в незашифрованном виде). Беспроводной адаптер Wi-Fi в Dell XPS 15 9560 принимает модифицированные прошивки без всяких проблем, несмотря на проверки цифровых подписей со стороны Windows 10. Прошивки USB-разветвителей VLI под Linux лишены цифровой подписи полностью.
По мнению экспертов Eclypsium, аналогичные проблемы могут распространяться на разработки и других производителей.
Кто виноват, и ничего не сделать
При этом в Lenovo признали, что в нынешнем поколении продуктов нет средств для исправления проблемы. В HP признали, что они работают над обновлением прошивок, и что в будущем камеры будут обязательно снабжены цифровыми подписями.
Что же касается Dell, то здесь разработчик аппаратной составляющей проблемного адаптера и драйвера, корпорация Qualcomm утверждает, что следить за наличием адекватной подписи драйвера и прошивок должна корпорация Microsoft, и что сам Qualcomm не планирует оснащать свои чипы средствами проверки.
В Microsoft, наоборот, кивают на Qualcomm: мол, это дело производителя чипов и драйверов к ним.
Между тем, в Eclypsium продемонстрировали успешную атаку на сервер, оснащенный платой сетевого интерфейса на базе чипсета BroadcomBCM5719. Эти платы используются в многочисленных серверах разных производителей. Их программные оболочки лишены цифровой подписи и при обновлении прошивок с текущего хоста их проверки не осуществляется. Специалистам удалось загрузить модифицированную ими версию программной прошивки в плату сетевого интерфейса (NIC) «в системе, где контроллер управления материнской платой (BMC) настроен на совместное использование NIC с хостом». В результате у экспертов появилась возможность анализировать содержимое сетевых пакетов, идущих через BMC. Вредоносное ПО может использовать те же возможности для слежки или подмены BMC-трафика в режиме реального времени.
Эксперты отмечают также, что поскольку NIC — это PCI-устройство, злоумышленники могут организовать DMA-атаки, то есть, получать доступ к содержанию памяти напрямую, в обход процессора и операционной системы. Это может привести к полной компрометации сервера.
Исправлению не подлежит
В отличие от macOS, где все установочные пакеты и прошивки проверяются при каждой загрузке, Windows и Linux проверяют цифровые подписи только после того как производится первичная установка прошивок и драйверов. Эксперты Eclypsiumотмечают, что если у аппаратного компонента изначально нет функций проверки цифровой подписи, обновления прошивки не поможет, и устройство останется уязвимым весь срок службы.