Οι ερευνητές ανακάλυψαν πολλά μη υπογεγραμμένα firmware σε διάφορα εξαρτήματα του συστήματος, όπως αντάπτορες WiFi, διανομείς USB, trackpads και κάμερες που χρησιμοποιούνται στη Lenovo, την Dell, την HP και άλλους σημαντικούς κατασκευαστές. Τα ελαττώματα που υπάρχουν σε αυτά τα στοιχεία επέτρεψαν στους εισβολείς να κάνουν compromise εκατομμύρια συστήματα Windows και Linux και να απομακρύνουν τα δεδομένα, να διαταράξουν τη λειτουργία και να “εμφυτεύσουν” το malware.
Μόλις μολυνθούν τα στοιχεία του firmware, επιτρέπει στους hackers να εμφυτεύσουν malware που παραμένει μη εντοπισμένο από οποιονδήποτε έλεγχο ασφαλείας λογισμικού.
Το κύριο ζήτημα στο πρόβλημα είναι ότι πολλές από τις περιφερειακές συσκευές δεν επαληθεύουν ότι το firmware είναι ψηφιακά πιστοποιημένο με κάποιο δημόσιο / ιδιωτικό κλειδί υψηλών προδιαγραφών πριν εκτελέσει τον κώδικα.
Σημαίνει ότι τα παραπάνω components της λίστας δεν έχουν κανένα τρόπο να επιβεβαιώσουν ότι το firmware που έχει φορτωθεί από τη συσκευή που έχει πιστοποιηθεί σωστά και έχει αξιόπιστο πιστοποιητικό.
Μπορεί απλά να εισαγάγει μια κακόβουλη ή ευάλωτη εικόνα firmware που τελικά εμπιστεύθηκε το component τυφλά και την άφησε να τρέξει στη συσκευή.
Στα αποτελέσματα, το μη υπογεγραμμένο firmware σε wifi αντάπτορες, διανομείς USB, κάμερες φορητών υπολογιστών και κάρτες διασύνδεσης δικτύου παρέχει πολλαπλές διαδρομές για τους hackers για να υπονομεύσουν τα laptop και τους servers.
Οι ερευνητές εξηγούν το ακόλουθο πολύ απλό και δυνατό σενάριο για μια επίθεση:
- Ένας εισβολέας αποκτά πρόσβαση σε μια συσκευή μέσω οποιασδήποτε μεθόδου, όπως το malware που παραδίδεται μέσω email ή ενός κακόβουλου website. Με βασικά δικαιώματα χρήστη, ο εισβολέας / malware θα μπορούσε να γράψει κακόβουλο firmware σε ένα ευάλωτο στοιχείο.
- Εάν το στοιχείο δεν απαιτεί την σωστή πιστοποίηση του firmware, ο κώδικας του εισβολέα φορτώνεται και εκτελείται από το στοιχείο.
- Ο εισβολέας μπορεί στη συνέχεια να χρησιμοποιήσει τη μοναδική λειτουργικότητα και τα προνόμια αυτού του στοιχείου για περαιτέρω επίθεση.
Για παράδειγμα, εάν το κακόβουλο εμφύτευμα firmware στον αντάπτορα του δικτύου επιτρέπει στους hackers να κάνουν sniff, να αντιγράφουν, να ανακατευθύνουν ή να μεταβάλλουν την επισκεψιμότητα, οδηγώντας σε απώλεια δεδομένων, επιθέσεις man-in-the-middle και άλλες επιθέσεις.
Οι ερευνητές από το Eclypsium εξηγούν μερικά από τα ευάλωτα firmware σε διάφορες μάρκες υπολογιστών όπως η Lenovo, ο Dell και ο προσαρμογέας USB.
Touchpad και Firmware TrackPoint σε laptop της Lenovo:
Οι ερευνητές ανέλυσαν ένα laptop Lenovo ThinkPad X1 Carbon 6th Gen που χρησιμοποίησε τα παρακάτω firmware
- Touchpad Firmware: pr2812761-tm3288-011-0808.img
- TrackPoint Firmware: PSG5E5_RANKA_fv06.bin
Και τα δύο firmware περιέχουν έναν μη ασφαλή μηχανισμό ενημέρωσης και δεν απαιτείται επαλήθευση κρυπτογραφικής υπογραφής προτού εφαρμοστεί η ενημέρωση του firmware.
Ενδεχόμενως, επέτρεψε στους εισβολείς να τροποποιήσουν τις εικόνες του firmware μέσω software για να εκτελέσουν αυθαίρετο κακόβουλο κώδικα μέσα σε αυτά τα στοιχεία.
Μια ενημερωμένη έκδοση firmware που διανέμεται από τα στοιχεία της HP δεν ήταν κρυπτογραφημένη και δεν υπήρχαν έλεγχοι αυθεντικότητας. Επίσης, αυτά τα firmware δεν περιέχουν καμία μορφή κρυπτογραφικής υπογραφής ή άλλων στοιχείων γνησιότητας.
Κατά τη διάρκεια αυτής της έρευνας, οι ειδικοί επιδεικνύουν το ελάττωμα που επιτρέπει την τροποποίηση του firmware του προσαρμογέα WiFi σε φορητούς υπολογιστές Dell XPS 15 9560 με Windows 10.
Στην παραπάνω εικόνα, η εικόνα του firmware για τον προσαρμογέα WiFi έχει πιστοποιηθεί σωστά από τους drivers και έχει επίσης εμφανίσει το εικονίδιο του μικρού πιστοποιητικού.
Μόλις οι ερευνητές τροποποιήσουν την εικόνα του firmware για τον Wifi αντάπτορα, το εικονίδιο του πιστοποιητικού εξαφανίζεται.
Οι ερευνητές εξέτασαν το μη πιστοποιημένο firmware σε ένα chipset κάρτας διασύνδεσης δικτύου (network interface card NIC), στο οποίο χρησιμοποιήθηκε συγκεκριμένα το chipset Broadcom BCM5719 στο NIC σε αυτήν την επίδειξη και χρησιμοποιείται συνήθως σε servers τρέχουσας γενιάς από πολλούς κατασκευαστές.
Σε αυτήν την επίδειξη, οι ερευνητές παρεμποδίζουν τα περιεχόμενα των πακέτων δικτύου BMC, παρέχουν αυτά τα περιεχόμενα σε malware που εκτελείται στον κεντρικό υπολογιστή και επίσης ήταν σε θέση να τροποποιήσουν την κυκλοφορία BMC online.
Αυτά τα κρίσιμα ελαττώματα δείχνουν σαφώς ότι το μη υπογεγραμμένο firmware μπορεί να οδηγήσει σε απώλεια δεδομένων και μπορεί να επιτρέψει στους επιτιθέμενους να αποκτήσουν προνόμια και να κρυφτεί από τους παραδοσιακούς ελέγχους ασφαλείας.
