Ett säkerhetsföretag leder en samordnad sårbarhetsavslöjande av flera allvarliga sårbarheter i Qualcomm lejongap chipset.
Sårbarheterna identifierades i Unified Extensible Firmware Interface (UEFI) firmware-referenskod och påverkar ARM-baserade bärbara datorer och enheter som använder Qualcomm Snapdragon-chips, enligt Binarly Research.
Qualcomm avslöjade sårbarheterna den 5 januari, tillsammans med länkar till tillgängliga patchar. Lenovo har också gett ut en bulletin och en BIOS-uppdatering för att åtgärda bristerna i drabbade bärbara datorer. Två av sårbarheterna är dock fortfarande inte åtgärdade, noterade Binarly.
Om de utnyttjas tillåter dessa hårdvarusårbarheter angripare att få kontroll över systemet genom att modifiera en variabel i det icke-flyktiga minnet, som lagrar data permanent, även när ett system är avstängt. Den modifierade variabeln kommer att äventyra den säkra uppstartsfasen av ett system, och en angripare kan få ständig tillgång till komprometterade system när exploateringen väl är på plats, säger Alex Matrosov, grundare och VD för Binarly.
"I grund och botten kan angriparen manipulera variabler från operativsystemnivå", säger Matrosov.
Firmware-brister öppnar dörren för attacker
Säker start är ett system som används i de flesta datorer och servrar för att säkerställa att enheterna startar ordentligt. Motståndare kan ta kontroll över systemet om startprocessen antingen förbigås eller under deras kontroll. De kan köra skadlig kod innan operativsystemet laddas. Firmware-sårbarheter är som att lämna en dörr öppen - en angripare kan få tillgång till systemresurser när och när de vill när systemet slås på, säger Matrosov.
"Den fasta programvaran är viktig eftersom angriparen kan få mycket, mycket intressanta uthållighetsförmåga, så att de kan spela på enheten under lång tid", säger Matrosov.
Bristerna är anmärkningsvärda eftersom de påverkar processorer baserade på ARM-arkitekturen, som används i datorer, servrar och mobila enheter. Ett antal säkerhetsproblem har upptäckts på x86-chips från Intel och AMD, men Matrosov noterade att detta avslöjande är en tidig indikator på säkerhetsbrister som finns i ARM-chipdesigner.
Firmware-utvecklare måste utveckla ett säkerhetstänk, säger Matrosov. Många datorer startar idag baserat på specifikationer som tillhandahålls av UEFI Forum, som tillhandahåller krokarna för mjukvara och hårdvara att interagera.
"Vi fann att OpenSSL, som används i UEFI-firmware - det är i ARM-versionen - är mycket föråldrat. Som ett exempel, en av de stora TPM-leverantörerna som heter Infineon, de använder en åtta år gammal OpenSSL-version, säger Matrosov.
Adressering av berörda system
I sin säkerhetsbulletin sa Lenovo att sårbarheten påverkade BIOS på den bärbara datorn ThinkPad X13s. BIOS-uppdateringen korrigerar bristerna.
Microsofts Windows Dev Kit 2023, med kodnamnet Project Volterra, påverkas också av sårbarheten, sa Binarly i en forskningsanteckning. Project Volterra är designat för programmerare att skriva och testa kod för operativsystemet Windows 11. Microsoft använder Project Volterra-enheten för att locka konventionella x86 Windows-utvecklare in i ARM-programvarans ekosystem, och enhetens lansering var ett toppmeddelande på Microsofts Build och ARMs DevSummit-konferenser förra året.
Smakämnen Meltdown och Spectre sårbarheter till stor del påverkade x86-chips i server- och PC-infrastrukturer. Men upptäckten av sårbarheter i ARM:s startlager är särskilt oroande eftersom arkitekturen driver ett mobilt ekosystem med låg effekt, vilket inkluderar 5G smartphones och basstationer. Basstationerna är alltmer i centrum för kommunikation för edge-enheter och molninfrastruktur. Angripare kan bete sig som operatörer, och de kommer att ha envishet vid basstationer och ingen kommer att veta, säger Matrosov.
Systemadministratörer måste prioritera att korrigera firmwarebrister genom att förstå risken för deras företag och åtgärda det snabbt, säger han. Binärt erbjudanden verktyg med öppen källkod för att upptäcka sårbarheter i firmware.
"Inte alla företag har policyer för att leverera firmwarefixar till sina enheter. Jag har arbetat för stora företag tidigare, och innan jag startade mitt eget företag hade ingen av dem - inte ens dessa hårdvarurelaterade företag - en intern policy att uppdatera firmware på anställdas bärbara datorer och enheter. Det här är inte rätt, säger Matrosov.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
- Källa: https://www.darkreading.com/dr-tech/firmware-vulnerability-in-chips-helps-hackers-take-control-of-systems
- 11
- 2023
- 7
- a
- tillgång
- adress
- adresse
- administratörer
- påverka
- alex
- och
- Tillkännagivande
- arkitektur
- ARM
- uppmärksamhet
- tillgänglig
- bas
- baserat
- I grund och botten
- därför att
- innan
- SLUTRESULTAT
- bulletin
- kallas
- kapacitet
- Centrum
- VD
- chip
- Pommes frites
- cloud
- koda
- Trygghet i vårdförloppet
- Företag
- företag
- kompromiss
- Äventyras
- konferenser
- kontroll
- konventionell
- samordnas
- kunde
- datum
- leverera
- utplacerade
- utformade
- mönster
- dev
- utveckla
- utvecklare
- anordning
- enheter
- avslöjande
- upptäckt
- Upptäckten
- Dörr
- drivande
- Tidig
- ekosystemet
- kant
- antingen
- Anställd
- säkerställa
- Även
- exempel
- exekvera
- befintliga
- Exploit
- utnyttjas
- fixerad
- brister
- Forum
- hittade
- grundare
- Grundare och VD
- från
- Få
- hårdvara
- krokar
- Men
- html
- HTTPS
- identifierade
- påverkade
- Konsekvenser
- med Esport
- in
- innefattar
- alltmer
- Indikator
- Infineon
- infrastruktur
- interagera
- intressant
- Gränssnitt
- inre
- Utfärdad
- IT
- jan
- Vet
- laptop
- bärbara datorer
- Large
- till stor del
- Efternamn
- Förra året
- senaste
- ledande
- lämnar
- lenovo
- Nivå
- länkar
- Lång
- större
- många
- Minne
- Microsoft
- Attityd
- Mobil
- Mobil enheter
- modifierad
- mest
- multipel
- Behöver
- anmärkningsvärd
- noterade
- antal
- Erbjudanden
- ONE
- öppet
- openssl
- drift
- operativsystem
- operatörer
- egen
- särskilt
- Tidigare
- Plåster
- Patching
- PC
- PC
- permanent
- persistens
- fas
- bit
- Plats
- plato
- Platon Data Intelligence
- PlatonData
- Spela
- snälla du
- Strategier
- policy
- Prioritera
- problem
- process
- processorer
- programmerare
- projektet
- ordentligt
- förutsatt
- leverantörer
- ger
- Qualcomm
- qualcomm snapdragon
- snabbt
- frigöra
- forskning
- Resurser
- Risk
- Nämnda
- säkra
- säkerhet
- Servrar
- smartphones
- Snapdragon
- So
- Mjukvara
- Källa
- specifikationer
- spöke
- starta
- igång
- Stationer
- Fortfarande
- lagrar
- bytte
- system
- System
- Ta
- testa
- Smakämnen
- deras
- till
- i dag
- verktyg
- topp
- vände
- under
- förståelse
- enhetlig
- Uppdatering
- användning
- version
- sårbarheter
- sårbarhet
- som
- kommer
- fönster
- Windows 11
- arbetade
- skriva
- år
- zephyrnet
