未签名的固件将Windows和Linux外围设备置于危险之中

导读 固件安全公司Eclypsium的研究人员周二发布了一项新的研究,从联想、戴尔、惠普和其他主要制造商那里识别和确认Wi Fi适配器、USB集线器、用于Windows和Linux计算机和服务器产品的跟踪

固件安全公司Eclypsium的研究人员周二发布了一项新的研究,从联想、戴尔、惠普和其他主要制造商那里识别和确认Wi Fi适配器、USB集线器、用于Windows和Linux计算机和服务器产品的跟踪和相机中未签名的固件。

eclypsium还演示了通过网络接口卡对服务器的成功攻击,三大服务器制造商都使用了未签名固件。

演示显示一旦使用报告描述的问题感染了这些组件上的固件,暴露的攻击向量。 任何软件安全控制都不会发现恶意软件。

未签名固件为恶意参与者提供了多条路径,以妥协笔记本电脑和服务器。 Eclypsium警告说,这使得数百万的Windows和Linux系统面临固件攻击的风险,这些攻击可能会泄露数据、破坏操作和交付赎金。

外围设备中未签名的固件仍然是网络安全的一个高度被忽视的方面。 根据组件的功能,无符号固件可能导致数据、完整性和隐私的丢失。 这份名为“外围设备:Windows和Linux计算机内部的隐藏危险”的报告指出,它还可以让攻击者获得特权并隐藏传统的安全控制。

TAGCyber高级分析师凯蒂?蒂特勒(Katie Teitler)表示,软件和网络漏洞往往是组织安全优先事项中更明显的焦点,但固件漏洞可能会使对手完全控制受损设备。

她对Linux Insider说:“这可能导致植入后门、网络流量嗅探、数据过滤等等。”

这份“周围环境”报告是基于Eclypsium研究小组成员进行的原始研究。 他们包括主要研究人员里克·阿尔瑟尔、米奇·什卡托夫、杰西·迈克尔和CTO·亚历克斯·巴扎尼克。

这项研究的工作始于18个多月前,并于今年2月完成。 该报告的主要研究员杰西·迈克尔说,这项研究是由该公司自筹资金进行的。

迈克尔对Linux Insider说:“可以肯定地认为,有数千万(如果不是数亿)的系统拥有这些特定的未签名固件组件。

例如,每年的服务器发货量约为1200万台,每年的笔记本电脑发货量约为2亿台。 他解释说,虽然本报告中确定的特定漏洞只影响所有已发运系统的一部分,但未签名固件组件在行业内很普遍。

迈克尔说:“我们还没有找到一个不包括这些组件的系统。

围绕未签名固件的问题在五年前浮出水面。 安全研究人员发现方程组的HDD植入物潜伏在野外。 根据Eclypsium的报告,这是一个警钟,将计算机行业引入固件黑客攻击的力量,以及外围设备中未签名固件带来的潜在危险。

近年来,在处理这个问题方面取得了一些进展。 然而,Elypsium的研究表明,该行业的许多人仍然对未签名固件的风险视而不见。

在执行四个单独的研究项目时,Elypsium的团队在Wi Fi适配器,USB集线器,trackpads和相机中在各种企业设备中发现了未签名的固件.. 这些问题可能对设备的安全和操作造成破坏性影响。

“[它们]往往很难修复。 报告指出,对诸如网卡、驱动器和其他外围设备等组件的破坏可以完全禁用设备,或者为攻击者提供窃取数据、交付赎金和隐藏安全性的方法。

新的Eclypsium研究表明,这些弱点在笔记本电脑和服务器的各个组件中都很普遍。 它们为恶意攻击提供了多种途径。

请参阅Eclypsium的“了解自己的设备”资源,了解今天设备中一些最常见的固件支持组件的概述。

尽管以前在野生攻击,外围制造商一直缓慢地采取签署固件的做法。 当谈到安全时,大多数注意力都集中在系统中最可见的组件上,比如操作系统和应用程序。

针对日益增多的威胁,许多组织已开始在其脆弱性管理和威胁预防模型中添加固件。 然而,这些努力仅限于系统固件-UE FI或BIOS驻留在设备的主板上,Michael解释说。

他说,潜伏的危险被强调,因为一个设备中几乎每个组件都有自己的固件和自己的风险潜力。 包括网络适配器、显卡、USB设备、摄像头、触控板和跟踪板等等。

“不幸的是,这一问题将持续相当一段时间,我们很可能会看到下一代产品的改进。 但这不会一下子发生。 作为一个行业,我们需要更多地关注硬件和固件安全。

一些原始设备制造商,如惠普和联想,已经迅速认识到这一问题,并开始与他们的设备/部件制造商合作解决方案。 签名固件保护通常需要在硬件以及固件中进行更改。 为了做到这一点,必须在未来的设备修订或模型中引入它们,他补充说。

外围设备中的这些内部组件由固件控制。 固件可能会烧入设备本身的集成电路.. 或者组件可能有自己的闪存,其中固件存储。

在其他情况下,操作系统可以在启动时动态提供固件。 但是,固件是存储的,它可以像一个微型计算机,控制该特定组件的低级行为。 根据报告,这种代码通常很容易受到攻击,从笔记本电脑到服务器再到网络设备都存在。

保护用户免受未签名固件的危险需要整个行业的供应商的工作。 原始设备制造商(OEM)和原始设计制造商(ODM)需要共同解决这些问题。

迈克尔说:“通过将这些类型的问题纳入风险评估,各组织可以在知情的情况下决定哪些外围设备和产品是安全的,哪些不是安全的。”

在如此长时间的广泛使用中,减少未签名固件造成的问题意味着不太可能很快找到一个快速的解决方案,但必须为此取得进展。

TAGCyber的Teitler说:“不幸的是,固件漏洞可能更难发现,更难修补。” “最佳做法是在组件一级部署漏洞和错误配置的自动扫描,并不断监测新的问题或漏洞。

问题是外围设备往往缺乏我们认为在操作系统和其他更可见的组件(如UE FI或BIOS)中理所当然的安全最佳实践,Michael指出。 具体来说,许多外围设备在运行代码之前没有验证固件是否正确地使用高质量的公钥/私钥签名。

这意味着这些组件没有办法验证设备加载的固件是真实的,应该是可信的。 他警告说,攻击者只需插入恶意或脆弱的固件映像即可,组件将盲目信任该映像并运行该映像。

这些组件在笔记本电脑和服务器中,但通常由单个设备/组件制造商引入缓解措施。

Eclypsium首席执行官YuriyBuygin表示,大多数组织没有必要的成熟流程来处理这一级别的安全缺陷或分配共同漏洞和暴露(CVE)报告。

通常,老化的硬件成为问题的更大部分。 他说,由于旧的硬件设计,为现场产品提供健壮修复的技术方法是不可用的。

Buygin对Linux Insider说:“因此,我们将在未来几年看到这些问题,改善这些问题的唯一方法是不断发现漏洞,提醒公众,帮助设备供应商建立更好的固件安全。

eclypsium研究人员演示了如何滥用未签名固件作为现实世界攻击的一部分。

该公司的报告详细介绍了获得外围组件控制权的攻击者如何将组件的功能用于恶意目的。 攻击者可能获得新的权限,甚至可以控制整个系统。

演示显示Eclypsium研究人员攻击网络接口卡(N IC)芯片组中的无符号固件。 对卡的恶意攻击会对服务器产生深远的影响。

这反过来又损害了操作系统的远程功能。 它为攻击者提供了一个远程后门,用于窥探和过滤原始网络流量,同时绕过操作系统防火墙提取数据或交付赎金。

报告警告说,这种攻击可能会使服务器在信号上与网络断开连接。 这可能导致中断整个数据中心的连接。