Las debilidades del firmware pueden convertir los subsistemas informáticos …



Las tarjetas de crimson, las cámaras de video y los adaptadores gráficos son algunos de los subsistemas cuya falta de seguridad podría permitir a los atacantes convertirlos en implantes espías.

El software program que actúa como la interfaz entre una computadora y sus diversos componentes de hardware puede convertirse en un implante centrado en el espionaje porque las compañías que fabrican los componentes a menudo no pueden crear un mecanismo seguro para actualizar el código, afirmó Eclypsium en un análisis publicado hoy. .

En su informe, la empresa de seguridad de firmware empresarial descubrió que las principales empresas de diseño y fabricación llave en mano que suministran componentes, como adaptadores Wi-Fi, concentradores USB, trackpads y cámaras, no firmaron su firmware, lo que abrió la posibilidad de que un atacante pudiera reemplace el código de components con una versión maliciosa que podría usarse para espiar y controlar el sistema comprometido. La compañía encontró dispositivos que carecían de firmware firmado en las computadoras portátiles Lenovo, Dell y HP, así como archivos de firmware sin firmar en un portal desde el cual los usuarios de computadoras pueden descargar actualizaciones.

Los hallazgos no son sorprendentes, dice Jesse Michael, investigador principal de Eclypsium. En una computadora portátil o estación de trabajo estándar, más de una docena de dispositivos diferentes podrían estar ejecutando firmware, y en un servidor más de 100.

«Si compra una computadora portátil o un servidor de una compañía de renombre … todos tienen una variedad de proveedores diferentes para los componentes de nivel inferior, como la tarjeta de crimson o una cámara internet o un panel táctil», dice. «Si bien los fabricantes de computadoras de marca han estado analizando la seguridad del program por un tiempo, las compañías más pequeñas (que fabrican estos subsistemas) no lo han hecho, la mayoría de los dispositivos en estos sistemas no tienen actualizaciones firmadas».

La investigación subraya que, a pesar de la luz arrojada sobre la técnica por la filtración de documentos de la Agencia de Seguridad Nacional por el ex contratista Edward Snowden, pocas compañías han creado una cadena de suministro segura para certificar que las actualizaciones de firmware son oficiales. Si bien muchos fabricantes de application han mejorado la seguridad de sus ciclos de vida de desarrollo mediante el uso de certificados de firma de código para autenticar las actualizaciones antes de que se apliquen, los fabricantes de diseño authentic (ODM) que diseñan, programan y producen subsistemas para fabricantes de computadoras a menudo no toman similares pasos para el application que actúa como interfaz entre los subsistemas de hardware, como adaptadores de pink, trackpads y cámaras, y el sistema informático principal.

«A pesar de los ataques anteriores, los fabricantes de periféricos han tardado en adoptar la práctica de firmar firmware, dejando a millones de sistemas Windows y Linux en riesgo de ataques de firmware que pueden filtrar datos, interrumpir las operaciones y entregar ransomware». declarado en el informe.

La compañía descubrió, por ejemplo, que Synaptics, que proporciona trackpads para muchas computadoras portátiles, no verificó la firma criptográfica antes de aplicar una actualización de firmware, lo que permitió a los investigadores ejecutar código malicioso arbitrario en una computadora portátil Lenovo, convirtiendo el subsistema en un troyano.

En otro ataque de prueba de concepto, los investigadores modificaron el firmware de un adaptador Wi-Fi que se ejecuta en una computadora portátil Dell. Home windows 10 verificará si el controlador para el adaptador de crimson, un dispositivo fabricado por Killer Wi-fi, está firmado, y si no lo está, lo mostrará sin un icono de certificado, pero de lo contrario continuará cargando el software package y utilizando el software program malicioso firmware.

El principal beneficio para un atacante de comprometer el firmware es que un dispositivo subvertido podría usarse para recargar malware, si un escáner antivirus, por ejemplo, detecta y limpia el código de ataque del disco duro. «Tienes un buen lugar para la persistencia», dice Michael. «Es un buen lugar para esconderse en el sistema».

Sin embargo, dispositivos específicos también podrían otorgarle al atacante otros beneficios si se ven comprometidos. Un adaptador de pink, por ejemplo, podría permitir al intruso capturar comunicaciones o enviar y recibir comandos de forma encubierta. En otro ataque de prueba de concepto, los investigadores actualizaron el firmware utilizado por el controlador de administración de placa foundation Broadcom (BMC) de un servidor para aprovechar invisiblemente las comunicaciones de pink del sistema y crear un canal secreto.

«Con este enfoque, podemos inspeccionar el contenido de los paquetes de crimson de BMC, proporcionar esos contenidos al malware que se ejecuta en el host o incluso modificar el tráfico de BMC sobre la marcha», escribieron los investigadores. «Esto también podría usarse para bloquear alertas enviadas desde el BMC a un servidor de registro central, redirigirlas selectivamente a un servidor diferente, copiar y enviar tráfico a una ubicación remota para su análisis, así como hacer conexiones de purple salientes a un comando remoto y controlar el servidor directamente desde la propia NIC sin que el host o BMC sepan que algo de esto está sucediendo «.

Debido a que dichos cambios son invisibles para el sistema operativo del host, los productos de seguridad basados ​​en el host no detectarán tal compromiso. Si bien existen productos para detectar cambios en el firmware, el mejor enfoque para la industria es ejercer presión adicional sobre sus proveedores, los fabricantes de equipos originales (OEM), dándoles más influencia con el fabricante de los subsistemas, dice Michael.

«Los OEM están a merced de los ODM hasta cierto punto», dice. «Individualmente, solo tienen una cantidad limitada de poder de compra. Al tener más clientes y organizaciones conscientes de que hay un problema, pueden ejercer más presión para solucionar este problema».

Contenido relacionado:

Revisa El borde, La nueva sección de Dark Examining para características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «8 cosas que los usuarios hacen que hacen que los profesionales de seguridad sean miserables».

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Darkish Reading through, MIT&#39s Technological innovation Assessment, Popular Science y Wired News. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Más suggestions





Enlace a la noticia first