Davor warnt die US-Regierung Firmware stellt „eine große und ständig wachsende Angriffsfläche“ dar.
Die US-Regierung macht auf höchster Ebene auf große Schwächen in der Firmware-Lieferkette aufmerksam und warnt davor, dass die Schicht unterhalb des Betriebssystems ein fruchtbarer Boden für verheerende Hackerangriffe ist.
Ein neuer gemeinsamer Berichtsentwurf, der von der Führung des US-Heimatschutzministeriums (DHS) und des Handelsministeriums herausgegeben wurde, besagt, dass Firmware „eine große und ständig wachsende Angriffsfläche“ für böswillige Hacker darstellt, um den Kern moderner Computer zu untergraben.
„Das Sichern der Firmware-Schicht wird oft übersehen, aber es ist ein Single Point of Failure in Geräten und eine der heimlichsten Methoden, mit denen ein Angreifer Geräte in großem Umfang kompromittieren kann.“
„Angreifer können die Sichtbarkeit von Betriebssystemen und Hypervisoren untergraben und die meisten Sicherheitssysteme umgehen, sich verstecken und für längere Zeit in Netzwerken und Geräten bleiben, während sie Angriffsoperationen durchführen, und unwiderruflichen Schaden anrichten“, sagten die beiden Behörden nach einer einjährigen Bewertung der Lieferketten für kritische IT-Infrastrukturen, die in den Vereinigten Staaten bereitgestellt werden.
„Firmware kann auch ein lukratives Ziel mit relativ niedrigen Angriffskosten sein. In den letzten Jahren haben Hacker zunehmend Firmware ins Visier genommen, um verheerende Angriffe zu starten.“
Der 96-seitige Bericht (PDF), das zur Unterstützung der Biden Executive Order zur Sicherung der amerikanischen Lieferketten veröffentlicht wurde, warnte davor, dass die privilegierte Position der Firmware im Computer-Stack heimlichen Angreifern einen großen Vorteil verschafft.
[ weiter LESEN: Microsoft: Firmware-Angriffe übertreffen Sicherheitsinvestitionen ]
Trotz ihrer wesentlichen Rolle bei elektronischen Geräten bestanden die Behörden darauf, dass die Firmware-Sicherheit „traditionell keine hohe Priorität für Hersteller oder Benutzer hatte und nicht immer gut geschützt ist“.
Während der Bewertung stellten die Behörden fest, dass Firmware auf Geräten wie Netzwerkkarten, Wi-Fi-Adaptern und USB-Hubs häufig nicht ordnungsgemäß mit öffentlichen oder privaten Schlüsseln signiert ist.
„Diese Geräte haben keine Möglichkeit zu überprüfen, ob die Betriebsfirmware authentisch und vertrauenswürdig ist.“
Schlimmer noch, die Agenturen machten besonders darauf aufmerksam, dass OEMs und Computerhersteller die Firmware-Entwicklung an Drittanbieter auslagern. „[Dies] führt zu Risiken im Zusammenhang mit mangelnder Transparenz bei den Programmier- und Cybersicherheitsstandards der Anbieter.“
[ weiter LESEN: Produktiver chinesischer APT bei der Verwendung der UEFI-Firmware „MoonBounce“ erwischt ]
Die Warnung der Regierung kommt, als Bedrohungsjäger Anzeichen dafür erkennen Nationalstaatliche APT-Akteure verwenden UEFI-Firmware-Implantate um heimliche Infektionen aufrechtzuerhalten und Neustarts und Neuinstallationen des Betriebssystems zu überstehen. Das berüchtigte Überwachungs-Spyware-Toolkit FinSpy war ebenfalls betroffen ausgestattet mit einem Bootkit um heimliche Infektionen durchzuführen.
In dem Bericht warnen die Behörden auch vor „komplexen Lieferketten“, die die Probleme bei der Sicherung von Firmware-Bereitstellungen verschärfen.
„In der PC-Produktion beispielsweise sind die OEMs normalerweise für die Firmware und die übrigen Elemente der PC-Plattform verantwortlich. Viele OEMs lagern die Firmware-Entwicklung jedoch an Drittanbieter aus, wo OEMs möglicherweise keinen Einblick in ihre Cybersicherheitshygiene haben. Selbst wenn OEMs Sicherheitsstandards festlegen, sind sie möglicherweise nicht in der Lage, Sicherheitsprotokolle von Lieferanten für eine Vielzahl von Komponenten und Unterlieferanten durchzusetzen“, warnten die Regierungsbehörden.
Der Bericht weist auch darauf hin, dass einzelne OEM-Anbieter die Firmware basierend auf den Geräteanforderungen modifizieren können, sobald die Firmware an den OEM geliefert wurde. „Dies kann zu Verwirrung darüber führen, welche Partei letztendlich für die Firmware-Integrität verantwortlich ist und wer Kunden-Updates bereitstellen soll.“
[ weiter LESEN: Dutzende von UEFI-Schwachstellen wirken sich auf Millionen von Geräten großer Anbieter aus ]
„Da sich Geräte und Firmware ändern, schließen OEMs außerdem häufig Verträge mit verschiedenen Firmware-Entwicklern ab, was zu Verzögerungen oder fehlenden Updates führen kann, wenn ältere Geräte aktualisiert werden müssen und der ursprüngliche Entwickler nicht verfügbar ist. All diese Faktoren können die Firmware für böswillige Angriffe anfällig machen“, heißt es in dem Bericht.
Die Agenturen machten auch auf den Schmerzpunkt der Anwendung von Firmware-Updates aufmerksam. „Der Aktualisierungsprozess und die Fähigkeiten einer Firmware variieren je nach Gerät. Einige Geräte erhalten regelmäßig Firmware-Updates. Einige erhalten im Laufe ihres Lebens möglicherweise nur ein Update, während andere möglicherweise nie ein Update erhalten.“
Schlimmer noch, der Prozess zum Installieren von Firmware-Updates ist nicht einfach, was dazu führt, dass Patches für Schwachstellen auf kritischer Ebene übersprungen werden.
„Firmware-Updates stellen für viele Unternehmen eine große logistische Herausforderung dar“, so die Agenturen. „In vielen Fällen wird die Gerätefirmware nie oder nur im Notfall aktualisiert. Darüber hinaus dürfen Anbieter Firmware-Updates nur bereitstellen, wenn dies durch einen Vorfall oder eine identifizierte Schwachstelle verursacht wird.“
Verbunden: Microsoft: Firmware-Angriffe übertreffen Sicherheitsinvestitionen
Verbunden: Microsoft kauft ReFirm Labs, um den Sicherheits-Push der IoT-Firmware zu erweitern
Verbunden: FinSpy-Überwachungs-Spyware mit UEFI-Bootkit
Verbunden: Kritische, ausnutzbare Fehler in der NETGEAR Router-Firmware
Verbunden: Produktiver chinesischer APT bei der Verwendung der UEFI-Firmware „MoonBounce“ erwischt
Verbunden: Zwei Dutzend UEFI-Schwachstellen betreffen Millionen von Geräten großer Anbieter
Verbunden: ESET entdeckt UEFI-Bootkit in einer Cyber-Spionage-Kampagne
Ryan Naraine ist Chefredakteur der SecurityWeek und Gastgeber des beliebten Sicherheitsgespräche Podcast-Serie. Er ist Journalist und Cybersicherheitsstratege mit mehr als 20 Jahren Erfahrung in den Bereichen IT-Sicherheit und Technologietrends.
Ryan hat Sicherheits-Engagement-Programme bei großen globalen Marken aufgebaut, darunter Intel Corp., Bishop Fox und Kaspersky GReAT. Er ist Mitbegründer von Threatpost und der globalen SAS-Konferenzreihe. Ryans Karriere als Journalist umfasst Beiträge bei wichtigen Technologiepublikationen wie Ziff Davis eWEEK, ZDNet von CBS Interactive, PCMag und PC World.
Ryan ist Direktor der gemeinnützigen Organisation Security Tinkerers und regelmäßiger Redner auf Sicherheitskonferenzen auf der ganzen Welt.
Folge Ryan auf Twitter @ryanaraine.
Stichworte:
