Компания по обеспечению безопасности возглавляет скоординированное раскрытие множества уязвимостей высокой степени серьезности в Qualcomm. Львиный зев Набор микросхем.
Уязвимости были обнаружены в справочном коде прошивки Unified Extensible Firmware Interface (UEFI) и затрагивают ноутбуки и устройства на базе ARM, использующие чипы Qualcomm Snapdragon. по данным BinaryResearch.
Qualcomm раскрыла уязвимости 5 января вместе со ссылками на доступные исправления. Lenovo также выпустила бюллетень и обновление BIOS для устранения недостатков затронутых ноутбуков. Однако две уязвимости до сих пор не устранены, отмечает Binarly.
В случае эксплуатации эти аппаратные уязвимости позволяют злоумышленникам получить контроль над системой, изменив переменную в энергонезависимой памяти, в которой данные хранятся постоянно, даже когда система выключена. Измененная переменная скомпрометирует фазу безопасной загрузки системы, и злоумышленник сможет получить постоянный доступ к скомпрометированным системам после того, как эксплойт будет установлен, говорит Алексей Матросов, основатель и генеральный директор Binarly.
«По сути, злоумышленник может манипулировать переменными на уровне операционной системы, — говорит Матросов.
Недостатки прошивки открывают двери для атак
Безопасная загрузка — это система, развернутая на большинстве ПК и серверов для обеспечения правильного запуска устройств. Злоумышленники могут получить контроль над системой, если процесс загрузки либо обойден, либо находится под их контролем. Они могут выполнять вредоносный код до загрузки операционной системы. По словам Матросова, уязвимости в прошивке — это как оставить дверь открытой — злоумышленник может получить доступ к системным ресурсам в любое время и в любое время, когда система включена.
«Прошивка важна, потому что злоумышленник может получить очень и очень интересные возможности сохранения, поэтому он может играть на устройстве в течение длительного времени», — говорит Матросов.
Недостатки примечательны тем, что затрагивают процессоры на базе архитектуры ARM, которые используются в ПК, серверах и мобильных устройствах. На чипах x86 был обнаружен ряд проблем с безопасностью. Intel и AMD, но Матросов отметил, что это раскрытие является ранним индикатором недостатков безопасности, существующих в конструкциях чипов ARM.
По словам Матросова, разработчикам микропрограмм необходимо выработать мышление, ориентированное на безопасность. Сегодня многие компьютеры загружаются в соответствии со спецификациями, предоставленными UEFI Forum, который обеспечивает взаимодействие программного и аппаратного обеспечения.
«Мы обнаружили, что OpenSSL, который используется в прошивке UEFI — он же в версии ARM — сильно устарел. Например, один из крупных поставщиков TPM, Infineon, использует версию OpenSSL восьмилетней давности», — говорит Матросов.
Обращение к затронутым системам
В своем бюллетене по безопасности Lenovo сообщила, что уязвимость затронула BIOS ноутбука ThinkPad X13s. Обновление BIOS исправляет недостатки.
В исследовательской заметке Binarly говорится, что Windows Dev Kit 2023 от Microsoft под кодовым названием Project Volterra также подвержен уязвимости. Project Volterra предназначен для программистов, которые пишут и тестируют код для операционной системы Windows 11. Microsoft использует устройство Project Volterra, чтобы заманить обычных разработчиков x86 Windows в программную экосистему ARM, и выпуск устройства стал главной новостью на конференциях Microsoft Build и ARM DevSummit в прошлом году.
Ассоциация Уязвимости Meltdown и Spectre в значительной степени затронули чипы x86 в инфраструктурах серверов и ПК. Но открытие уязвимости в загрузочном слое ARM вызывает особую обеспокоенность, поскольку эта архитектура управляет мобильной экосистемой с низким энергопотреблением, которая включает в себя Смартфоны и базовые станции 5G. Базовые станции все чаще становятся центром коммуникаций для пограничных устройств и облачных инфраструктур. Злоумышленники могут вести себя как операторы, и у них будет настойчивость на базовых станциях, и никто об этом не узнает, говорит Матросов.
По его словам, системные администраторы должны уделять первоочередное внимание исправлению недостатков прошивки, осознавая риск для своей компании и быстро устраняя его. Бинарные предложения инструменты с открытым исходным кодом для обнаружения уязвимостей прошивки.
«Не у каждой компании есть политика по доставке исправлений прошивки на свои устройства. В прошлом я работал в крупных компаниях, и до того, как я основал свою собственную компанию, ни в одной из них — даже в компаниях, связанных с оборудованием — не было внутренней политики обновления прошивки на ноутбуках и устройствах сотрудников. Это неправильно», — говорит Матросов.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://www.darkreading.com/dr-tech/firmware-vulnerability-in-chips-helps-hackers-take-control-of-systems
- 11
- 2023
- 7
- a
- доступ
- адрес
- адресация
- администраторы
- влиять на
- Alex
- и
- Объявление
- архитектура
- ARM
- внимание
- доступен
- Использование темпера с изогнутым основанием
- основанный
- в основном
- , так как:
- до
- строить
- бюллетень
- под названием
- возможности
- Центр
- Генеральный директор
- чип
- чипсы
- облако
- код
- Связь
- Компании
- Компания
- скомпрометированы
- Ослабленный
- конференции
- контроль
- обычный
- согласованный
- может
- данным
- доставить
- развернуть
- предназначенный
- конструкций
- Дев
- развивать
- застройщиков
- устройство
- Устройства
- раскрытие
- открытый
- открытие
- Двери
- вождение
- Рано
- экосистема
- Edge
- или
- Сотрудник
- обеспечивать
- Даже
- пример
- выполнять
- существующий
- Эксплуатировать
- Эксплуатируемый
- фиксированной
- недостатки
- Форум
- найденный
- основатель
- Основатель и Главный Исполнительный Директор
- от
- Gain
- Аппаратные средства
- Крючки
- Однако
- HTML
- HTTPS
- идентифицированный
- влияние
- Воздействие
- важную
- in
- включает в себя
- все больше и больше
- Индикаторные
- Infineon
- инфраструктура
- взаимодействовать
- интересный
- Интерфейс
- в нашей внутренней среде,
- Выпущен
- IT
- Января
- Знать
- портативный компьютер
- ноутбуки
- большой
- в значительной степени
- Фамилия
- В прошлом году
- последний
- ведущий
- уход
- Lenovo
- уровень
- связи
- Длинное
- основной
- многих
- Память
- Microsoft
- Мышление
- Мобильный телефон
- мобильных устройств
- модифицировало
- самых
- с разными
- Необходимость
- примечательный
- отметил,
- номер
- Предложения
- ONE
- открытый
- OpenSSL
- операционный
- операционная система
- Операторы
- собственный
- особенно
- мимо
- Патчи
- Заделка
- PC
- ПК
- постоянно
- настойчивость
- фаза
- кусок
- Часть
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Играть
- пожалуйста
- сборах
- политика
- Расставляйте приоритеты
- проблемам
- процесс
- процессоры
- Программисты
- Проект
- должным образом
- при условии
- поставщики
- приводит
- Qualcomm
- Qualcomm Snapdragon
- быстро
- освободить
- исследованиям
- Полезные ресурсы
- Снижение
- Сказал
- безопасный
- безопасность
- Серверы
- смартфоны
- Львиный зев
- So
- Software
- Источник
- спецификации
- Spectre
- Начало
- и политические лидеры
- Станции
- По-прежнему
- магазины
- включается
- система
- системы
- взять
- тестXNUMX
- Ассоциация
- их
- в
- сегодня
- инструменты
- топ
- Оказалось
- под
- понимание
- унифицированный
- Обновление ПО
- использование
- версия
- Уязвимости
- уязвимость
- который
- будете
- окна
- Окна 11
- работавший
- записывать
- год
- зефирнет