Une société de sécurité dirige la divulgation coordonnée des vulnérabilités de plusieurs vulnérabilités de haute gravité dans Qualcomm muflier chipset.
Les vulnérabilités ont été identifiées dans le code de référence du micrologiciel Unified Extensible Firmware Interface (UEFI) et affectent les ordinateurs portables et les appareils basés sur ARM utilisant des puces Qualcomm Snapdragon, selon la recherche binaire.
Qualcomm a révélé les vulnérabilités le 5 janvier, ainsi que des liens vers les correctifs disponibles. Lenovo a également publié un bulletin et une mise à jour du BIOS pour corriger les défauts des ordinateurs portables concernés. Cependant, deux des vulnérabilités ne sont toujours pas corrigées, a noté Binarly.
Si elles sont exploitées, ces vulnérabilités matérielles permettent aux attaquants de prendre le contrôle du système en modifiant une variable dans la mémoire non volatile, qui stocke les données de manière permanente, même lorsqu'un système est éteint. La variable modifiée compromettra la phase de démarrage sécurisé d'un système, et un attaquant peut obtenir un accès persistant aux systèmes compromis une fois l'exploit en place, explique Alex Matrosov, fondateur et PDG de Binarly.
"En gros, l'attaquant peut manipuler des variables au niveau du système d'exploitation", explique Matrosov.
Les failles du firmware ouvrent la porte aux attaques
Le démarrage sécurisé est un système déployé sur la plupart des PC et des serveurs pour s'assurer que les appareils démarrent correctement. Les adversaires peuvent prendre le contrôle du système si le processus de démarrage est contourné ou sous leur contrôle. Ils peuvent exécuter du code malveillant avant que le système d'exploitation ne soit chargé. Les vulnérabilités du micrologiciel sont comme laisser une porte ouverte – un attaquant peut accéder aux ressources du système comme et quand il le souhaite lorsque le système est allumé, explique Matrosov.
"Le micrologiciel est important car l'attaquant peut acquérir des capacités de persistance très, très intéressantes, afin qu'il puisse jouer à long terme sur l'appareil", déclare Matrosov.
Les failles sont notables car elles affectent les processeurs basés sur l'architecture ARM, qui sont utilisés dans les PC, les serveurs et les appareils mobiles. Un certain nombre de problèmes de sécurité ont été découverts sur les puces x86 de Intel ainsi que AMD, mais Matrosov a noté que cette divulgation est un indicateur précoce des failles de sécurité existant dans les conceptions de puces ARM.
Les développeurs de micrologiciels doivent développer un état d'esprit axé sur la sécurité, déclare Matrosov. Aujourd'hui, de nombreux PC démarrent sur la base des spécifications fournies par le forum UEFI, qui fournit les crochets permettant aux logiciels et au matériel d'interagir.
"Nous avons constaté qu'OpenSSL, qui est utilisé dans le micrologiciel UEFI - c'est dans la version ARM - est très obsolète. À titre d'exemple, l'un des principaux fournisseurs de TPM appelé Infineon utilise une version OpenSSL vieille de huit ans », explique Matrosov.
Adressage des systèmes affectés
Dans son bulletin de sécurité, Lenovo a déclaré que la vulnérabilité affectait le BIOS de l'ordinateur portable ThinkPad X13s. La mise à jour du BIOS corrige les défauts.
Le kit de développement Windows 2023 de Microsoft, nommé Project Volterra, est également affecté par la vulnérabilité, a déclaré Binarly dans une note de recherche. Project Volterra est conçu pour que les programmeurs écrivent et testent du code pour le système d'exploitation Windows 11. Microsoft utilise l'appareil Project Volterra pour attirer les développeurs Windows x86 conventionnels dans l'écosystème logiciel ARM, et la sortie de l'appareil a été l'une des principales annonces lors des conférences Microsoft Build et ARM DevSummit l'année dernière.
La Vulnérabilités Meltdown et Spectre a largement affecté les puces x86 dans les infrastructures de serveurs et de PC. Mais la découverte de vulnérabilités dans la couche de démarrage d'ARM est particulièrement préoccupant car l'architecture est le moteur d'un écosystème mobile à faible consommation d'énergie, qui comprend Smartphones et stations de base 5G. Les stations de base sont de plus en plus au centre des communications pour les appareils périphériques et les infrastructures cloud. Les attaquants pourraient se comporter comme des opérateurs, et ils persisteront dans les stations de base et personne ne le saura, dit Matrosov.
Les administrateurs système doivent accorder la priorité à la correction des défauts du micrologiciel en comprenant le risque pour leur entreprise et en le traitant rapidement, dit-il. Offres binaires outils open source pour détecter les vulnérabilités du micrologiciel.
« Toutes les entreprises n'ont pas de politiques pour fournir des correctifs de micrologiciel à leurs appareils. J'ai travaillé pour de grandes entreprises dans le passé, et avant de créer ma propre entreprise, aucune d'entre elles - même ces entreprises liées au matériel - n'avait de politique interne pour mettre à jour le micrologiciel sur les ordinateurs portables et les appareils des employés. Ce n'est pas juste », dit Matrosov.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://www.darkreading.com/dr-tech/firmware-vulnerability-in-chips-helps-hackers-take-control-of-systems
- 11
- 2023
- 7
- a
- accès
- propos
- adresser
- administrateurs
- affecter
- alex
- ainsi que
- NOUVEAUTÉ!
- architecture
- BRAS
- précaution
- disponibles
- base
- basé
- En gros
- car
- before
- construire
- bulletin
- appelé
- capacités
- Canaux centraux
- CEO
- puce
- chips
- le cloud
- code
- Communications
- Sociétés
- Société
- compromis
- Compromise
- conférences
- des bactéries
- conventionnel
- coordonné
- pourriez
- données
- livrer
- déployé
- un
- Avec nos Bagues Halo
- dev
- développer
- mobiles
- dispositif
- Compatibles
- divulgation
- découvert
- découverte
- Porte
- conduite
- "Early Bird"
- risque numérique
- Edge
- non plus
- Employés
- assurer
- Pourtant, la
- exemple
- exécuter
- existant
- Exploiter
- Exploités
- fixé
- défauts
- Forum
- trouvé
- fondateur
- Fondateur et PDG
- de
- Gain
- Matériel
- Crochets
- Cependant
- HTML
- HTTPS
- identifié
- impact
- Impacts
- important
- in
- inclut
- de plus en plus
- Indicateur
- Infineon
- infrastructures
- interagir
- intéressant
- Interfaces
- interne
- Publié
- IT
- Janvier
- Savoir
- portatif
- ordinateurs portables
- gros
- principalement
- Nom de famille
- L'année dernière
- Nouveautés
- conduisant
- départ
- Lenovo
- Niveau
- Gauche
- Location
- majeur
- de nombreuses
- Mémoire
- Microsoft
- Mindset
- Breeze Mobile
- appareils mobiles
- modifié
- (en fait, presque toutes)
- plusieurs
- Besoin
- notable
- noté
- nombre
- Offres Speciales
- ONE
- ouvert
- openssl
- d'exploitation
- le système d'exploitation
- opérateurs
- propre
- particulièrement
- passé
- Patches
- patcher
- PC
- PC
- définitivement
- persistance
- phase
- pièce
- Place
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Jouez
- veuillez cliquer
- politiques
- politique
- Prioriser
- d'ouvrabilité
- processus
- processeurs
- Programmeurs
- Projet
- correctement
- à condition de
- fournisseurs
- fournit
- Qualcomm
- qualcomm snapdragon
- vite.
- libérer
- un article
- Ressources
- Analyse
- Saïd
- sécurisé
- sécurité
- Serveurs
- smartphones
- Muflier
- So
- Logiciels
- Identifier
- caractéristiques
- Spectre
- Commencer
- j'ai commencé
- DÉSINFECTANT
- Encore
- STORES
- commuté
- combustion propre
- Système
- Prenez
- tester
- La
- leur
- à
- aujourd'hui
- les outils
- top
- Tourné
- sous
- compréhension
- unifiée
- Mises à jour
- utilisé
- version
- vulnérabilités
- vulnérabilité
- qui
- sera
- fenêtres
- fenêtres 11
- travaillé
- écrire
- an
- zéphyrnet
