Et sikkerhetsselskap leder koordinert sårbarhetsavsløring av flere alvorlige sårbarheter i Qualcomm Snapdragon brikkesett.
Sårbarhetene ble identifisert i Unified Extensible Firmware Interface (UEFI) fastvarereferansekode og påvirker ARM-baserte bærbare datamaskiner og enheter som bruker Qualcomm Snapdragon-brikker, ifølge Binarly Research.
Qualcomm avslørte sårbarhetene 5. januar, sammen med lenker til tilgjengelige patcher. Lenovo har også gitt ut en bulletin og en BIOS-oppdatering for å løse feilene i berørte bærbare datamaskiner. Imidlertid er to av sårbarhetene fortsatt ikke fikset, bemerket Binarly.
Hvis de utnyttes, lar disse maskinvaresårbarhetene angripere få kontroll over systemet ved å modifisere en variabel i ikke-flyktig minne, som lagrer data permanent, selv når et system er slått av. Den modifiserte variabelen vil kompromittere den sikre oppstartsfasen til et system, og en angriper kan få vedvarende tilgang til kompromitterte systemer når utnyttelsen er på plass, sier Alex Matrosov, grunnlegger og administrerende direktør i Binarly.
"I utgangspunktet kan angriperen manipulere variabler fra operativsystemnivå," sier Matrosov.
Fastvarefeil åpner døren for angrep
Sikker oppstart er et system som brukes på de fleste PC-er og servere for å sikre at enhetene starter riktig. Motstandere kan ta kontroll over systemet hvis oppstartsprosessen enten omgås eller under deres kontroll. De kan kjøre ondsinnet kode før operativsystemet lastes. Fastvaresårbarheter er som å la en dør stå åpen - en angriper kan få tilgang til systemressurser når og når de vil når systemet er slått på, sier Matrosov.
"Firmware-delen er viktig fordi angriperen kan få veldig, veldig interessante utholdenhetsevner, slik at de kan spille på lang sikt på enheten," sier Matrosov.
Feilene er bemerkelsesverdige fordi de påvirker prosessorer basert på ARM-arkitekturen, som brukes i PC-er, servere og mobile enheter. En rekke sikkerhetsproblemer har blitt oppdaget på x86-brikker fra Intel og AMD, men Matrosov bemerket at denne avsløringen er en tidlig indikator på sikkerhetsfeil som eksisterer i ARM-brikkedesign.
Fastvareutviklere må utvikle en tankegang med sikkerhet først, sier Matrosov. Mange PC-er starter i dag opp basert på spesifikasjoner levert av UEFI Forum, som gir krokene for programvaren og maskinvaren til å samhandle.
"Vi fant ut at OpenSSL, som brukes i UEFI-fastvare - det er i ARM-versjonen - er veldig utdatert. Som et eksempel, en av de store TPM-leverandørene kalt Infineon, bruker de en åtte år gammel OpenSSL-versjon, sier Matrosov.
Adressering av berørte systemer
I sin sikkerhetsbulletin sa Lenovo at sårbarheten påvirket BIOS-en til ThinkPad X13s bærbare. BIOS-oppdateringen retter opp feilene.
Microsofts Windows Dev Kit 2023, kodenavnet Project Volterra, er også påvirket av sårbarheten, sa Binarly i et forskningsnotat. Project Volterra er designet for programmerere for å skrive og teste kode for Windows 11-operativsystemet. Microsoft bruker Project Volterra-enheten for å lokke konvensjonelle x86 Windows-utviklere inn i ARM-programvareøkosystemet, og enhetens utgivelse var en toppkunngjøring på Microsofts Build og ARMs DevSummit-konferanser i fjor.
De Meltdown og Spectre sårbarheter i stor grad påvirket x86-brikker i server- og PC-infrastrukturer. Men oppdagelsen av sårbarheter i ARMs oppstartslag er spesielt bekymrende fordi arkitekturen driver et mobilt økosystem med lav effekt, som inkluderer 5G smarttelefoner og basestasjoner. Basestasjonene er i økende grad i sentrum for kommunikasjon for edge-enheter og skyinfrastruktur. Angripere kan oppføre seg som operatører, og de vil ha utholdenhet på basestasjoner og ingen vil vite det, sier Matrosov.
Systemadministratorer må prioritere å lappe fastvarefeil ved å forstå risikoen for selskapet deres og løse det raskt, sier han. Binært tilbud åpen kildekode-verktøy for å oppdage fastvaresårbarheter.
"Ikke alle selskaper har retningslinjer for å levere fastvarefikser til enhetene sine. Jeg har jobbet for store selskaper tidligere, og før jeg startet mitt eget selskap, hadde ingen av dem - selv disse maskinvarerelaterte selskapene - en intern policy for å oppdatere fastvaren på ansattes bærbare datamaskiner og enheter. Dette er ikke riktig, sier Matrosov.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
- kilde: https://www.darkreading.com/dr-tech/firmware-vulnerability-in-chips-helps-hackers-take-control-of-systems
- 11
- 2023
- 7
- a
- adgang
- adresse
- adressering
- administratorer
- påvirke
- alex
- og
- Kunngjøring
- arkitektur
- ARM
- oppmerksomhet
- tilgjengelig
- basen
- basert
- I utgangspunktet
- fordi
- før du
- bygge
- bulletin
- som heter
- evner
- sentrum
- konsernsjef
- chip
- chips
- Cloud
- kode
- kommunikasjon
- Selskaper
- Selskapet
- kompromiss
- kompromittert
- konferanser
- kontroll
- konvensjonell
- koordinert
- kunne
- dato
- leverer
- utplassert
- designet
- design
- dev
- utvikle
- utviklere
- enhet
- Enheter
- avsløring
- oppdaget
- Funnet
- Av
- kjøring
- Tidlig
- økosystem
- Edge
- enten
- Ansatt
- sikre
- Selv
- eksempel
- henrette
- eksisterende
- Exploit
- Exploited
- fikset
- feil
- Forum
- funnet
- Grunnleggeren
- Grunnlegger og administrerende direktør
- fra
- Gevinst
- maskinvare
- kroker
- Men
- HTML
- HTTPS
- identifisert
- påvirket
- Konsekvenser
- viktig
- in
- inkluderer
- stadig
- Indikator
- Infineon
- infrastruktur
- samhandle
- interessant
- Interface
- intern
- Utstedt
- IT
- jan
- Vet
- laptop
- bærbare datamaskiner
- stor
- i stor grad
- Siste
- I fjor
- siste
- ledende
- forlater
- Lenovo
- Nivå
- lenker
- Lang
- større
- mange
- Minne
- Microsoft
- Tankesett
- Mobil
- håndholdte enheter
- modifisert
- mest
- flere
- Trenger
- bemerkelsesverdig
- bemerket
- Antall
- Tilbud
- ONE
- åpen
- openssl
- drift
- operativsystem
- operatører
- egen
- spesielt
- Past
- Patches
- patching
- PC
- PC-er
- permanent
- utholdenhet
- fase
- brikke
- Sted
- plato
- Platon Data Intelligence
- PlatonData
- Spille
- vær så snill
- Politikk
- politikk
- Prioriter
- problemer
- prosess
- prosessorer
- programmerere
- prosjekt
- riktig
- forutsatt
- tilbydere
- gir
- Qualcomm
- qualcomm snapdragon
- raskt
- slipp
- forskning
- Ressurser
- Risiko
- Sa
- sikre
- sikkerhet
- Servere
- smartphones
- snap dragen
- So
- Software
- kilde
- spesifikasjoner
- spektrum
- Begynn
- startet
- Stasjoner
- Still
- butikker
- byttet om
- system
- Systemer
- Ta
- test
- De
- deres
- til
- i dag
- verktøy
- topp
- snudde
- etter
- forståelse
- enhetlig
- Oppdater
- bruke
- versjon
- Sikkerhetsproblemer
- sårbarhet
- hvilken
- vil
- vinduer
- Windows 11
- arbeidet
- skrive
- år
- zephyrnet
