Et sikkerhedsfirma leder koordineret afsløring af sårbarheder af flere alvorlige sårbarheder i Qualcomm Snapdragon chipset.
Sårbarhederne blev identificeret i Unified Extensible Firmware Interface (UEFI) firmwarereferencekode og påvirker ARM-baserede bærbare computere og enheder, der bruger Qualcomm Snapdragon-chips, ifølge Binarly Research.
Qualcomm afslørede sårbarhederne den 5. januar sammen med links til tilgængelige programrettelser. Lenovo har også udsendt en bulletin og en BIOS-opdatering for at afhjælpe fejlene i berørte bærbare computere. To af sårbarhederne er dog stadig ikke rettet, bemærkede Binarly.
Hvis de udnyttes, tillader disse hardwaresårbarheder angribere at få kontrol over systemet ved at ændre en variabel i ikke-flygtig hukommelse, som gemmer data permanent, selv når et system er slukket. Den modificerede variabel vil kompromittere den sikre opstartsfase af et system, og en angriber kan få vedvarende adgang til kompromitterede systemer, når udnyttelsen er på plads, siger Alex Matrosov, grundlægger og administrerende direktør for Binarly.
"Dybest set kan angriberen manipulere variabler fra operativsystemniveau," siger Matrosov.
Firmwarefejl åbner døren for angreb
Sikker opstart er et system, der er installeret på de fleste pc'er og servere for at sikre, at enheder starter korrekt. Modstandere kan tage kontrol over systemet, hvis opstartsprocessen enten omgås eller under deres kontrol. De kan udføre ondsindet kode, før operativsystemet indlæses. Firmwaresårbarheder er som at lade en dør stå åben - en angriber kan få adgang til systemressourcer, når og når de vil, når systemet er tændt, siger Matrosov.
"Firmwaredelen er vigtig, fordi angriberen kan få meget, meget interessante vedholdenhedsevner, så de kan spille på lang sigt på enheden," siger Matrosov.
Fejlene er bemærkelsesværdige, fordi de påvirker processorer baseret på ARM-arkitekturen, som bruges i pc'er, servere og mobile enheder. En række sikkerhedsproblemer er blevet opdaget på x86-chips fra Intel , AMD, men Matrosov bemærkede, at denne afsløring er en tidlig indikator for sikkerhedsfejl, der eksisterer i ARM-chipdesign.
Firmwareudviklere er nødt til at udvikle et sikkerhedsorienteret tankesæt, siger Matrosov. Mange pc'er starter i dag op baseret på specifikationer leveret af UEFI Forum, som sørger for, at softwaren og hardwaren kan interagere.
"Vi fandt ud af, at OpenSSL, som bruges i UEFI-firmware - det er i ARM-versionen - er meget forældet. Som et eksempel, en af de store TPM-udbydere kaldet Infineon, de bruger en otte år gammel OpenSSL-version,” siger Matrosov.
Adressering af berørte systemer
I sin sikkerhedsbulletin sagde Lenovo, at sårbarheden påvirkede BIOS'en på den bærbare ThinkPad X13s. BIOS-opdateringen retter fejlene.
Microsofts Windows Dev Kit 2023, kodenavnet Project Volterra, er også påvirket af sårbarheden, sagde Binarly i et forskningsnotat. Project Volterra er designet til programmører til at skrive og teste kode til Windows 11-operativsystemet. Microsoft bruger Project Volterra-enheden til at lokke konventionelle x86 Windows-udviklere ind i ARM-softwareøkosystemet, og enhedens udgivelse var en topmeddelelse på Microsofts Build og ARMs DevSummit-konferencer sidste år.
Meltdown og Spectre sårbarheder i høj grad påvirket x86-chips i server- og pc-infrastrukturer. Men opdagelsen af sårbarheder i ARMs boot-lag er særligt bekymrende, fordi arkitekturen driver et mobilt økosystem med lav effekt, som bl.a 5G smartphones og basestationer. Basestationerne er i stigende grad i centrum for kommunikation for edge-enheder og cloud-infrastrukturer. Angribere kunne opføre sig som operatører, og de vil have vedholdenhed på basestationer, og ingen vil vide det, siger Matrosov.
Systemadministratorer er nødt til at prioritere patchning af firmwarefejl ved at forstå risikoen for deres virksomhed og løse den hurtigt, siger han. Binært tilbud open source-værktøjer til at opdage firmwaresårbarheder.
"Ikke alle virksomheder har politikker for at levere firmwarerettelser til deres enheder. Jeg har tidligere arbejdet for store virksomheder, og før jeg startede mit eget firma, havde ingen af dem - selv disse hardware-relaterede virksomheder - en intern politik om at opdatere firmwaren på medarbejdernes bærbare computere og enheder. Det er ikke rigtigt,” siger Matrosov.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://www.darkreading.com/dr-tech/firmware-vulnerability-in-chips-helps-hackers-take-control-of-systems
- 11
- 2023
- 7
- a
- adgang
- adresse
- adressering
- administratorer
- påvirke
- alex
- ,
- Fondsbørsmeddelelse
- arkitektur
- ARM
- opmærksomhed
- til rådighed
- bund
- baseret
- I bund og grund
- fordi
- før
- bygge
- bulletin
- kaldet
- kapaciteter
- center
- Direktør
- chip
- Chips
- Cloud
- kode
- Kommunikation
- Virksomheder
- selskab
- kompromis
- Kompromitteret
- konferencer
- kontrol
- konventionelle
- koordineret
- kunne
- data
- levere
- indsat
- konstrueret
- designs
- dev
- udvikle
- udviklere
- enhed
- Enheder
- videregivelse
- opdaget
- opdagelse
- Ved
- kørsel
- Tidligt
- økosystem
- Edge
- enten
- Medarbejder
- sikre
- Endog
- eksempel
- udføre
- eksisterende
- Exploit
- Exploited
- fast
- fejl
- forum
- fundet
- grundlægger
- Stifter og CEO
- fra
- Gevinst
- Hardware
- Kroge
- Men
- HTML
- HTTPS
- identificeret
- påvirket
- Påvirkninger
- vigtigt
- in
- omfatter
- stigende
- Indikator
- Infineon
- infrastruktur
- interagere
- interessant
- grænseflade
- interne
- Udstedt
- IT
- Jan
- Kend
- laptop
- laptops
- stor
- vid udstrækning
- Efternavn
- Sidste år
- seneste
- førende
- forlader
- Lenovo
- Niveau
- links
- Lang
- større
- mange
- Hukommelse
- microsoft
- Mindset
- Mobil
- mobilenheder
- modificeret
- mest
- flere
- Behov
- bemærkelsesværdig
- bemærkede
- nummer
- Tilbud
- ONE
- åbent
- openssl
- drift
- operativsystem
- Operatører
- egen
- især
- forbi
- Patches
- lappe
- PC
- pc'er
- permanent
- udholdenhed
- fase
- stykke
- Place
- plato
- Platon Data Intelligence
- PlatoData
- Leg
- Vær venlig
- politikker
- politik
- Prioriter
- problemer
- behandle
- processorer
- Programmører
- projekt
- korrekt
- forudsat
- udbydere
- giver
- Qualcomm
- qualcomm snapdragon
- hurtigt
- frigive
- forskning
- Ressourcer
- Risiko
- Said
- sikker
- sikkerhed
- Servere
- smartphones
- snap dragen
- So
- Software
- Kilde
- specifikationer
- Spectrum
- starte
- påbegyndt
- Stationer
- Stadig
- forhandler
- skiftede
- systemet
- Systemer
- Tag
- prøve
- deres
- til
- i dag
- værktøjer
- top
- Drejede
- under
- forståelse
- forenet
- Opdatering
- brug
- udgave
- Sårbarheder
- sårbarhed
- som
- vilje
- vinduer
- Windows 11
- arbejdede
- skriver
- år
- zephyrnet
