Firma ochroniarska prowadzi skoordynowane ujawnianie luk w zabezpieczeniach wielu luk o dużej wadze w Qualcomm lwia paszcza chipset.
Luki zostały zidentyfikowane w kodzie referencyjnym oprogramowania układowego Unified Extensible Firmware Interface (UEFI) i wpływają na laptopy i urządzenia oparte na architekturze ARM wykorzystujące układy Qualcomm Snapdragon, według badań binarnych.
Qualcomm ujawnił luki w zabezpieczeniach 5 stycznia wraz z linkami do dostępnych poprawek. Lenovo wydało również biuletyn oraz aktualizację systemu BIOS w celu usunięcia wad w laptopach, których dotyczy problem. Binarly zauważył jednak, że dwie luki nadal nie zostały naprawione.
Te luki sprzętowe, jeśli zostaną wykorzystane, umożliwiają atakującym przejęcie kontroli nad systemem poprzez modyfikację zmiennej w pamięci nieulotnej, która przechowuje dane na stałe, nawet gdy system jest wyłączony. Zmodyfikowana zmienna naruszy bezpieczną fazę rozruchu systemu, a atakujący może uzyskać stały dostęp do zaatakowanych systemów, gdy exploit zostanie już wprowadzony, mówi Alex Matrosov, założyciel i dyrektor generalny Binarly.
„Zasadniczo osoba atakująca może manipulować zmiennymi z poziomu systemu operacyjnego” — mówi Matrosov.
Wady oprogramowania sprzętowego otwierają drzwi do ataków
Bezpieczny rozruch to system wdrożony na większości komputerów i serwerów, który zapewnia prawidłowe uruchamianie urządzeń. Przeciwnicy mogą przejąć kontrolę nad systemem, jeśli proces uruchamiania zostanie pominięty lub znajduje się pod ich kontrolą. Mogą wykonać szkodliwy kod przed załadowaniem systemu operacyjnego. Luki w oprogramowaniu układowym są jak pozostawienie otwartych drzwi — osoba atakująca może uzyskać dostęp do zasobów systemowych w dowolnym momencie, gdy system jest włączony, mówi Matrosow.
„Oprogramowanie układowe jest ważne, ponieważ osoba atakująca może uzyskać bardzo, bardzo interesujące możliwości trwałości, dzięki czemu może grać na urządzeniu przez długi czas” — mówi Matrosov.
Wady są godne uwagi, ponieważ dotyczą procesorów opartych na architekturze ARM, które są wykorzystywane w komputerach PC, serwerach i urządzeniach mobilnych. W układach x86 odkryto szereg problemów bezpieczeństwa Intel i AMD, ale Matrosov zauważył, że to ujawnienie jest wczesnym wskaźnikiem luk w zabezpieczeniach istniejących w projektach chipów ARM.
Twórcy oprogramowania układowego muszą wypracować nastawienie na bezpieczeństwo, mówi Matrosov. Wiele dzisiejszych komputerów PC uruchamia się w oparciu o specyfikacje dostarczone przez Forum UEFI, które zapewnia interakcję oprogramowania i sprzętu.
„Odkryliśmy, że OpenSSL, który jest używany w oprogramowaniu układowym UEFI — jest w wersji ARM — jest bardzo przestarzały. Na przykład jeden z głównych dostawców TPM o nazwie Infineon używa ośmioletniej wersji OpenSSL” — mówi Matrosow.
Adresowanie systemów, których dotyczy problem
W swoim biuletynie dotyczącym bezpieczeństwa firma Lenovo poinformowała, że luka dotyczy systemu BIOS laptopa ThinkPad X13s. Aktualizacja BIOS-u poprawia błędy.
Binarly powiedział w notatce badawczej, że luka ma również wpływ na Microsoft Windows Dev Kit 2023, o nazwie kodowej Project Volterra. Projekt Volterra jest przeznaczony dla programistów do pisania i testowania kodu dla systemu operacyjnego Windows 11. Microsoft używa urządzenia Project Volterra, aby zwabić konwencjonalnych programistów Windows x86 do ekosystemu oprogramowania ARM, a wydanie urządzenia było głównym ogłoszeniem na zeszłorocznych konferencjach Microsoft Build i ARM DevSummit.
Połączenia Luki Meltdown i Spectre w dużej mierze dotyczyło układów x86 w infrastrukturze serwerów i komputerów osobistych. Ale odkrycie luki w warstwie rozruchowej ARM jest szczególnie niepokojący, ponieważ architektura napędza ekosystem mobilny o niskim zużyciu energii, który obejmuje Smartfony i stacje bazowe 5G. Stacje bazowe w coraz większym stopniu znajdują się w centrum komunikacji urządzeń brzegowych i infrastruktury chmurowej. Atakujący mogą zachowywać się jak operatorzy, będą wytrwali w stacjach bazowych i nikt się nie dowie, mówi Matrosov.
Administratorzy systemów muszą priorytetowo traktować łatanie błędów oprogramowania układowego, rozumiejąc ryzyko dla swojej firmy i szybko je usuwając, mówi. Oferty binarne narzędzia open source do wykrywania luk w oprogramowaniu układowym.
„Nie każda firma ma zasady dostarczania poprawek oprogramowania układowego do swoich urządzeń. W przeszłości pracowałem dla dużych firm i zanim założyłem własną firmę, żadna z nich — nawet te związane ze sprzętem — nie miała wewnętrznej polityki aktualizacji oprogramowania sprzętowego na laptopach i urządzeniach pracowników. To nie w porządku” – mówi Matrosow.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://www.darkreading.com/dr-tech/firmware-vulnerability-in-chips-helps-hackers-take-control-of-systems
- 11
- 2023
- 7
- a
- dostęp
- adres
- adresowanie
- Administratorzy
- oddziaływać
- alex
- i
- Zapowiedź
- architektura
- ARM
- Uwaga
- dostępny
- baza
- na podstawie
- Gruntownie
- bo
- zanim
- budować
- biuletyn
- nazywa
- możliwości
- Centrum
- ceo
- żeton
- Frytki
- Chmura
- kod
- Komunikacja
- Firmy
- sukcesy firma
- kompromis
- Zagrożone
- konferencje
- kontrola
- Konwencjonalny
- skoordynowane
- mógłby
- dane
- dostarczyć
- wdrażane
- zaprojektowany
- projekty
- dev
- rozwijać
- deweloperzy
- urządzenie
- urządzenia
- ujawnienie
- odkryty
- odkrycie
- Drzwi
- jazdy
- Wcześnie
- Ekosystem
- krawędź
- bądź
- Pracownik
- zapewnić
- Parzyste
- przykład
- wykonać
- Przede wszystkim system został opracowany
- Wykorzystać
- eksploatowany
- ustalony
- Skazy
- Forum
- znaleziono
- założyciel
- Założyciel i CEO
- od
- Wzrost
- sprzęt komputerowy
- Haczyki
- Jednak
- HTML
- HTTPS
- zidentyfikowane
- wpływ
- Oddziaływania
- ważny
- in
- obejmuje
- coraz bardziej
- Wskaźnik
- Infineon
- infrastruktura
- interakcji
- ciekawy
- Interfejs
- wewnętrzny
- Wydany
- IT
- Styczeń
- Wiedzieć
- laptopa
- laptopy
- duży
- w dużej mierze
- Nazwisko
- Ostatni rok
- firmy
- prowadzący
- pozostawiając
- Lenovo
- poziom
- linki
- długo
- poważny
- wiele
- Pamięć
- Microsoft
- Mindset
- Aplikacje mobilne
- urządzenia mobilne
- zmodyfikowano
- większość
- wielokrotność
- Potrzebować
- dostojnik
- zauważyć
- numer
- Oferty
- ONE
- koncepcja
- openssl
- operacyjny
- system operacyjny
- operatorzy
- własny
- szczególnie
- Przeszłość
- Łatki
- łatanie
- PC
- komputery
- na stałe
- uporczywość
- faza
- kawałek
- Miejsce
- plato
- Analiza danych Platona
- PlatoDane
- Grać
- Proszę
- polityka
- polityka
- Priorytet
- problemy
- wygląda tak
- Procesory
- Programiści
- projekt
- prawidłowo
- pod warunkiem,
- dostawców
- zapewnia
- Qualcomm
- qualcomm snapdragon
- szybko
- zwolnić
- Badania naukowe
- Zasoby
- Ryzyko
- Powiedział
- bezpieczne
- bezpieczeństwo
- Serwery
- smartfony
- Lwia paszcza
- So
- Tworzenie
- Źródło
- Specyfikacje
- Widmo
- początek
- rozpoczęty
- Stacje
- Nadal
- sklep
- przełączane
- system
- systemy
- Brać
- test
- Połączenia
- ich
- do
- już dziś
- narzędzia
- Top
- Obrócony
- dla
- zrozumienie
- Ujednolicony
- Aktualizacja
- posługiwać się
- wersja
- Luki w zabezpieczeniach
- wrażliwość
- który
- będzie
- okna
- Okna 11
- pracował
- napisać
- rok
- zefirnet
