¿Su firmware es vulnerable a los ataques? Un informe dice que podría ser


Los hackers pueden comprometer el firmware no firmado en los adaptadores WiFi, los concentradores USB, los trackpads y otros dispositivos, dice la empresa de seguridad de firmware empresarial Eclypsium en un nuevo informe.

Las infracciones de datos aumentaron un 17% en 2019 respecto al año anterior
El Centro de recursos de robo de identidad advierte que las empresas de todos los tamaños deben estar atentas a la seguridad de los datos.

Es probable que proteja sus computadoras, red, software y otros activos obvios con las defensas de seguridad necesarias. Pero hay un elemento en muchos dispositivos que no es tan aparente o tan visible: el firmware. Dependiendo del dispositivo, el firmware puede almacenarse en un circuito o memoria flash, o puede ser suministrado por el sistema operativo cuando se inicia.

VER: 10 formas de minimizar las infecciones de malware sin archivos (PDF gratuito) (TechRepublic Premium)

Sin embargo, se manifiesta, el firmware puede ser vulnerable a las amenazas de seguridad si no está firmado, lo que significa que el fabricante del dispositivo no lo protege. Un informe publicado el martes por Eclypsium detalla los riesgos involucrados en el uso de dispositivos con firmware sin firmar.

Como se describe en el informe, Periféricos peligrosos: los peligros ocultos. Dentro de computadoras con Windows y Linux, Eclypsium analizó firmware sin firmar en diferentes dispositivos, incluidos adaptadores WiFi, concentradores USB, trackpads y cámaras utilizadas en computadoras con Windows y Linux de Lenovo, Dell, HP y otros fabricantes. Los investigadores pudieron organizar una infección de malware exitosa en un servidor con una tarjeta de red que tenía firmware sin firmar.

En el mundo real, un pirata informático podría comprometer el firmware sin firmar para lanzar diferentes tipos de ataques, según Eclypsium.

El firmware infectado en un adaptador de red podría permitir que un atacante olfatee, copie o altere el tráfico de la red, lo que provocaría la pérdida de datos y ataques de intermediarios. Los dispositivos basados ​​en PCI podrían permitir Ataques de acceso directo a memoria (DMA) eso ayudaría a los piratas informáticos a robar datos o hacerse cargo del sistema. Las cámaras con firmware infectado podrían capturar datos del entorno del usuario. Y un disco duro con firmware comprometido podría permitir al atacante ocultar el código que el sistema operativo no ve.

El problema se agrava porque cada dispositivo puede contener muchos componentes diferentes y cada componente puede tener su propio firmware. Eso presenta varias áreas vulnerables en un solo dispositivo.

Hace cinco años, la empresa de seguridad Kaspersky trajo a la luz los peligros del firmware sin firmar al describir las actividades de un grupo de ciberataques llamado Grupo de ecuaciones. Al acceder al código fuente de ciertos discos duros, el grupo pudo lanzar malware que podría reprogramar el firmware de esas unidades. Desde entonces, sin embargo, los fabricantes de dispositivos han tardado en firmar y asegurar su firmware de manera adecuada, dijo Eclypsium en su informe.

VER: ¿Qué es el malware sin archivos y cómo protegerse contra él? (PDF gratis) (TechRepublic)

La debilidad aquí es que muchos dispositivos no verifican que su firmware esté firmado correctamente con una clave pública o privada de alta calidad antes de ejecutar su código. Como tal, los dispositivos no tienen forma de confirmar que el firmware es legítimo y de confianza. Eso significa que un pirata informático podría aplicar una imagen de firmware maliciosa en la que el dispositivo o un componente específico del dispositivo confiaría automáticamente. Y dado que el firmware generalmente permanece oculto, cualquier infección de este tipo permanecería sin ser detectada.

El problema es específico de los sistemas Windows y Linux. Apple verifica las firmas en todos los archivos en un paquete de controladores, incluido el firmware, cada vez que se cargan. Pero Windows y Linux realizan este tipo de verificación solo cuando el paquete se instala inicialmente. Para protegerse completamente contra este tipo de ataque, el dispositivo mismo debe verificar la firma antes de permitir una actualización de firmware en lugar de depender del sistema operativo para hacer el trabajo.

Potencialmente, decenas de millones o cientos de millones de sistemas tienen componentes de firmware sin firmar, según Eclypsium. Y tomará algún tiempo antes de que la industria alcance el problema.

"Desafortunadamente, este problema estará presente por bastante tiempo, y probablemente veremos mejoras en los productos de próxima generación, pero esto no sucederá de una vez", dijo Jesse Michael, investigador principal en Eclypsium. "Como industria, debemos prestar más atención a la seguridad del hardware y el firmware. Proteger a los usuarios de los peligros del firmware sin firmar requerirá el trabajo de los proveedores de toda la industria. Específicamente, los OEM y ODM deben trabajar juntos para solucionar estos problemas. incluyendo este tipo de problemas en sus evaluaciones de riesgos, las organizaciones pueden tomar decisiones informadas sobre qué periféricos / productos son seguros y cuáles no ".

No hay herramientas de seguridad específicas que puedan ayudar a los usuarios a buscar problemas de firmware sin firmar. Pero las organizaciones pueden tomar algunas medidas para protegerse de este tipo de vulnerabilidad.

VER: Los 10 ciberataques más importantes de la década (PDF gratuito) (TechRepublic)

"Si trabaja para una organización más grande con datos sensibles o infraestructura para proteger, hable con su equipo de seguridad", dijo Rick Altherr, ingeniero principal de Eclypsium. "Asegúrese de conocer los riesgos del firmware sin firmar y de incluir el firmware firmado como parte de los criterios de selección para las decisiones de compra. Al hacerlo, se envía una señal clara a los fabricantes de computadoras de que el firmware firmado es un requisito del cliente y necesario para futuras ofertas de productos".

Ver también

Concepto de seguridad de software. Errores en el programa. Errores en el programa. La presencia de una puerta trasera, rootkit.

Imagen: sasha85ru, Getty Images / iStockphoto



Enlace a la noticia original