Risicovolle zaken hebben gevolgen voor computergebruikers en bekende merkverkopers, en het draait allemaal om firmware, zelden gescand op kwetsbaarheden, en die bestaande beveiligingscontroles kunnen ondermijnen. Een nieuw rapport van ondernemingsfirmware-beveiligingsbedrijf Eclypsium rapporteert over kwetsbaarheden in Windows- en Linux-firmware.

In zijn PR-materiaal Eclypsium zegt, "Moderne aanvallers weten dat traditionele beveiligingstools geen zicht hebben op firmware, zowel op systeemniveau als binnen hardwarecomponenten, en gebruiken in toenemende mate firmware-implantaten en achterdeuren om beveiligingscontroles te omzeilen, aanhouden en de infrastructuur van een organisatie verstoren."

Deze ontwikkelingen zetten veel veiligheidsaannames op hun kop, omdat veel beveiligingstechnologieën worden omzeild. Het Eclypsium-rapportteam zag hoe "randapparatuur vaak dezelfde best practices voor beveiliging mist die we als vanzelfsprekend beschouwen in besturingssystemen en in andere, meer zichtbare componenten, zoals de UEFI of BIOS."

In een bedraad verhaal, Rick Altert, hoofdingenieur bij Eclypsium, genoemde onbevoegde gebruikers kunnen firmware op deze apparaten wijzigen; er zijn geen controles over waar die firmware vandaan komt of wat het doet.

Andere technologiesites plaatsen ook het nieuwe rapport, "Gevaarlijke randapparatuur:de verborgen gevaren in Windows- en Linux-computers, " in de schijnwerpers.

Merknamen met zwakke firmware zijn onder meer Lenovo, HP en Dell randapparatuur. Het rapport zei dat ze niet-ondertekende firmware vonden in wifi-adapters, USB-hubs, trackpads en camera's die worden gebruikt in computers van Lenovo, Dell, HP en andere grote fabrikanten. De firmware kan worden bijgewerkt met niet-ondertekende code.

Tara Seals van Threatpost zei dat firmware criminelen "een rijk aanvalsoppervlak zou kunnen bieden als ze kwetsbaar blijken te zijn".

Shaun Nichols schreef in The Register, "Hoewel de kwetsbare apparaten zelf misschien niet bijzonder waardevol zijn voor een hacker, ze kunnen dienen als houvast om toegang te krijgen tot andere systemen op het netwerk."

Het rapportteam zei dat "niet-ondertekende firmware kan leiden tot gegevensverlies, integriteit, en privacy, en kunnen aanvallers privileges krijgen en zich verbergen voor traditionele beveiligingscontroles."

Advies van Eclypsium:"Gezien de wijdverbreide aard van niet-ondertekende firmware, bedrijven moeten hun apparaten scannen op kwetsbare onderdelen, en moet de firmwarestatus van nieuwe apparaten beoordelen tijdens de aanschaf."

Firmware-kwetsbaarheden kunnen moeilijk te detecteren zijn. Seals schreef dat firmware-aanvallen "kwaadaardige activiteiten toelaten om onder de radar van eindpuntbeveiligingen te vliegen, zoals onlangs gezien in de laatste campagnes met de RobbinHood ransomware, kwetsbare stuurprogramma's kunnen worden gebruikt om beveiligingsmaatregelen te omzeilen en ransomware in staat te stellen zonder inmenging aan te vallen."

Van alle rapporten over wat Eclypsium onthulde, Het artikel van Andy Greenberg was vooral nuttig voor diegenen die beter willen begrijpen hoe randapparatuur kan knoeien met de beveiliging van een gebruiker.

"Die laptop op je bureau of die server in een datacenterrek is niet zozeer een computer als wel een netwerk van ze. De onderling verbonden apparaten - van harde schijven tot webcams tot trackpads, grotendeels afkomstig van derden - hebben hun eigen speciale chips en code."

Het maakt niet uit dat er al jaren waarschuwingen zijn gegeven - het probleem blijft bestaan. Groenberg zei, "Die computers in uw computer blijven verontrustend onbeschermd."

De onderzoekers vonden zelfs problemen met de Linux Vendor Firmware Service, "een beveiligde portal waarmee hardwareleveranciers firmware-updates kunnen uploaden."

De bottom line in het Threatpost-artikel was dat dit firmwareprobleem nauwelijks triviaal is. "Niet-ondertekende firmware in randapparatuur blijft een sterk over het hoofd gezien aspect van cyberbeveiliging, " schreef Seals, "en biedt meerdere paden voor kwaadwillende actoren om laptops en servers te compromitteren."

Paul Wagenseil van Tom's Guide had een soortgelijk punt over de ernst ervan:"Miljoenen laptops en desktops gemaakt door Dell, PK, Lenovo en andere bedrijven zijn kwetsbaar voor aanvallen, dankzij onbeveiligde firmware die door de webcams wordt gebruikt, trackpads, USB-hubs, Wi-Fi-kaarten en andere randapparatuur van externe leveranciers die in de pc's zijn ingebouwd."

Seals citeerde Jesse Michaels, hoofdonderzoeker bij Eclypsium. Hij zei dat fabrikanten van randapparatuur traag zijn geweest om de praktijk van het ondertekenen van firmware over te nemen, "waardoor miljoenen Windows- en Linux-systemen het risico lopen op firmware-aanvallen die gegevens kunnen exfiltreren, operaties verstoren en ransomware afleveren."

Tom's Guide:"Microsoft kan Windows harder maken, en Linux-ontwikkelaars kunnen Linux verharden, tegen malware alles wat ze kunnen, maar verbeteringen aan het besturingssysteem zullen niet veel doen om andere aanvalslijnen te stoppen via de honderden randapparatuur van derden die in laptops en desktops is ingebouwd."

De onderzoekers van Eclypsium ontdekten dat deze problemen van toepassing zijn op vrijwel alle klassen Windows- en Linux-apparaten, van laptops tot servers. Als het onduidelijk was wie de schuldige was, het was woensdag ook duidelijk dat er één entiteit geprezen kon worden:Apple. "Macs zijn immuun, ' zei Tom's Guide.

Het Eclypsium-rapport legde uit dat "Apple handtekeningverificatie uitvoert op alle bestanden in een stuurprogrammapakket, inclusief firmware, elke keer voordat ze in het apparaat worden geladen om dit type aanval te beperken. In tegenstelling tot, Windows en Linux voeren dit type verificatie alleen uit wanneer het pakket voor het eerst is geïnstalleerd."

Een lezer van HotHardware reageerde met dit standpunt op het nieuws:

"Er is echt geen excuus voor firmware om niet meer te worden ondertekend en geverifieerd, buiten een ontwikkelomgeving. Besturingssystemen moeten gebruikers waarschuwen voor niet-ondertekende firmware en de gevaren uitleggen op een manier die leken gebruikers kunnen begrijpen. In bedrijfsomgevingen, deze waarschuwingen kunnen worden uitgeschakeld via GPO, enz. ervan uitgaande dat de SysAdmins competent genoeg zijn om hun eigen firmware te controleren."

© 2020 Wetenschap X Netwerk