Cinco años después de los hacks de Equation Group HDD, la seguridad del firmware todavía apesta


tarjeta madre

En un informe publicado hoy, Eclypsium, una empresa de ciberseguridad especializada en seguridad de firmware, dice que el problema del firmware sin firmar sigue siendo un problema generalizado entre los fabricantes de dispositivos y periféricos.

Según los investigadores, muchos fabricantes de dispositivos aún no firman el firmware que envían para sus componentes. Además, incluso si firman el firmware de un dispositivo, no aplican controles para la firma del firmware cada vez que se carga el controlador / firmware, sino solo durante la instalación.

Los investigadores dicen que esto deja la puerta abierta para que los actores maliciosos manipulen el firmware nearby después de que se haya instalado para plantar malware persistente y casi invisible en los dispositivos de los usuarios.

Para probar su punto, en su informe, el equipo de Eclypsium reveló vulnerabilidades en cuatro tipos de firmware periférico: para touchpads / trackpads, cámaras, adaptadores WiFi y concentradores USB.

«Apple realiza una verificación de firma en todos los archivos en un paquete de controladores, incluido el firmware, cada vez que se cargan en el dispositivo, para mitigar este tipo de ataque», dijo el equipo de Eclypsium.

«En contraste, Windows y Linux solo realizan este tipo de verificación cuando el paquete se instala inicialmente».

Pero aunque algunos podrían culpar rápidamente a los sistemas operativos por no aplicar una práctica de firma de firmware más estricta, el equipo de Eclypsium no está en este barco.

«En última instancia, el dispositivo en sí necesita realizar la verificación de firma antes de permitir la actualización del firmware en lugar de depender del sistema operativo para realizar esta tarea», dicen.

Los fabricantes de dispositivos se olvidaron del Grupo de ecuaciones

La razón por la cual los fabricantes de dispositivos no están haciendo esto es por pereza, indiferencia o porque no sienten que ellos o sus clientes estén bajo amenaza.

Sin embargo, cuando se presiona, los fabricantes de dispositivos son más que capaces de hacer cumplir firmas estrictas de controladores / firmware.

Exactamente algo como esto ha sucedido antes. En 2015, los investigadores de seguridad de Kaspersky descubrieron un nuevo tipo de malware que nadie más había visto antes hasta entonces.

El malware, conocido como NLS_933.dll, tenía la capacidad de reescribir el firmware de HDD para una docena de marcas de HDD para plantar puertas traseras persistentes. Kaspersky dijo que el malware se usó en ataques contra sistemas en todo el mundo.

Los investigadores de Kaspersky afirmaron que el malware fue desarrollado por un grupo de hackers conocido como Equation Team, un nombre en clave que luego se asoció con la Agencia de Seguridad Nacional de EE. UU. (NSA).

Sabiendo que la NSA estaba espiando a sus clientes, muchos vendedores de HDD y SSD mejoraron la seguridad de su firmware, dijo Eclypsium.

Sin embargo, cinco años después de que los implantes HDD del Grupo Equation fueran
encontrado en la naturaleza y presentado a la industria del components el poder del pirateo de firmware, Eclypsium dice que los proveedores solo han abordado parcialmente este problema.

«Después de la divulgación de los implantes de disco del Equation Group, muchos proveedores de HDD y SSD hicieron cambios para garantizar que sus componentes solo aceptaran firmware válido. Sin embargo, muchos de los otros componentes periféricos aún no han seguido su ejemplo», dijeron los investigadores.

Ahora, Eclypsium está instando a la industria del components a seguir los pasos de los fabricantes de HDD / SSD y avanzar para aplicar reglas más estrictas para las firmas de firmware, es decir, que las firmas se verifican cada vez que el firmware se carga en la memoria, y no solo en el momento de la instalación.



Enlace a la noticia unique