Исследователи из компании Eclypsium заявили, что миллионы систем с ОС Windows и Linux, продаваемых Dell, HP, Lenovo и другими производителями компьютеров, уязвимы для атак из-за неподписанного встроенного программного обеспечения периферийных компонентов.
- По словам исследователей, как продавцы, так и злоумышленники знали об этом векторе атак как минимум с 2015 года; однако производители пока не спешат подписывать свои прошивки. Неподписанные прошивки камер для ноутбуков, сетевых карт, трекпадов, USB-концентраторов и адаптеров Wi-Fi делают миллионы систем уязвимыми как для кражи данных, так и для программ-вымогателей.
Исследователи обнаружили, что встроенное программное обеспечение беспроводного адаптера Dell XPS 15 9560 может быть изменено таким образом, чтобы злоумышленники могли получить контроль над устройством. При этом компании Dell, Qualcomm (чей чип используется в беспроводном адаптере) и Microsoft перекладывают ответственность друг на друга.
Qualcomm заявляет, что программное обеспечение, работающее поверх CPU, должно проверять безопасность встроенного программного обеспечения. Dell заявила, что работает со своим поставщиком, чтобы понять влияние проблемы на безопасность. А Microsoft заявила, что именно производитель драйверов должен обеспечивать безопасность встроенного программного обеспечения.
Исследователи обнаружили, что в обновлениях встроенного программного обеспечения для камеры HP Wide-Vision FHD в 13-дюймовом конвертируемом ноутбуке HP Specter X360 также отсутствуют проверки шифрования и подлинности. Программное обеспечение также можно легко изменить с помощью инструмента, предоставленного HP. Однако в данном случае производитель сообщил, что будущие поколения камер будут поставляться с подписанной прошивкой. Однако компания не указала, будут ли обновления прошивки шифроваться. Кроме того, существующие камеры и устройства останутся уязвимыми.
Исследователи также обнаружили проблему безопасности с микропрограммой сенсорной панели для ноутбука Lenovo ThinkPad X1 Carbon 6th Gen. Микропрограмма для сенсорной панели Synaptics и Trackpoint не получала зашифрованные и подписанные обновления. Lenovo заявила, что она признаёт проблему и призывает своих поставщиков решить её для будущих продуктов. Однако в Synaptics утверждают, что микропрограмме не требуется криптографическая подпись, потому что код является проприетарным. Подразумевается, что, поскольку код является проприетарным, это означает, что злоумышленникам должно быть трудно его использовать.
Однако в реальности поставщики компонентов для компьютерной техники уже являются привлекательными целями для атак. Их количество возросло за последние несколько лет, потому что успешное использование уязвимости компонента на ПК означает, что злоумышленники могут получить контроль над миллионами ПК. Кроме того, проприетарный код редко останавливал злоумышленников, особенно когда получить доступ к микропрограмме так же просто, как купить ноутбук с сенсорной панелью Synaptics.
Также сообщается, что исследователи проверили Linux Vendor Firmware Service и обнаружили неподписанную прошивку USB-концентратора. Таким образом, можно совершать атаки на неподписанную прошивку для чипсета Broadcom BCM5719, используемого во многих сетевых интерфейсных картах, которые поставляются с серверами текущего поколения. Карта подключена к шине PCI и может обеспечить прямой доступ к памяти и, следовательно, полный захват сервера. Broadcom ещё не сделала заявление по этому поводу.
В итоге, исследователи Eclypsium были озадачены тем, кто вообще берёт на себя ответственность за безопасность встроенного программного обеспечения. Также они предупреждают, что этот тип атаки не может быть легко устранён пользователем. Однако на данный момент основными целями этих атак, вероятно, будут корпоративные системы и центры обработки данных. Атаки позволяют осуществить кражу данных и вымогать деньги, что делает такой тип уязвимости идеальным для использования против бизнес-компьютеров и серверов.